Nach Cyberangriff: Lösegeld zahlen ist ein Glücksspiel

Laut einer Untersuchung des Versicherers Hiscok können 64 Prozent der KMU, die nach einem Ransomware-Angriff Lösegeld gezahlt haben, ihre Daten dennoch nicht oder nur teilweise wiederherstellen. Das ist schon schlimm genug, aber es kommt noch dicker.

Statt Lösegeld zu zahlen, rät Hiscox-Experte Klemens Lemke Unternehmen, auf starke Prävention, schnelle Incident Response und professionelle technische Hilfe im Ernstfall zu setzen (Foto: Hiscox)

Zwei Einsichten von Cyberexperten und Ermittlungsbehörden, die immer noch kein Grundwissen in einer vernetzten Wirtschaft und Gesellschaft sind: Jede Privatperson und jedes Unternehmen, egal welcher Größe, werden von Cyberkriminellen ins Visier genommen. Und: Zahle niemals Lösegeld an Hacker. Letzteres ist nämlich ein Glücksspiel, weil der teuer erkaufte Code für die Entschlüsselung von Daten nicht oder nur teilweise funktioniert.

In Deutschland richten sich inzwischen laut polizeilicher Kriminalstatistik rund 80 Prozent aller bekannten Ransomware-Angriffe gegen kleine und mittlere Unternehmen. KMU sind auch entsprechend sensibilisiert: Aus ihrer Sicht stellen der externe Zugriff auf Kunden- oder interne Daten sowie jegliche Gefährdung von Unternehmensdaten die größten Risiken bei Cyberangriffen dar. Das zeigt der aktuelle "Cyber Readiness Report" des Spezialversicherers Hiscox.

80 Prozent aller bekannten Ransomware-Angriffe gegen KMU

Doch der Aufbau einer resiliente IT, die Ransomware-Attacken bestmöglich abwehren kann, gehört nicht zu den Stärken gerader kleinerer Unternehmen. KMU stehen bei Cyberkriminellen deshalb ganz oben auf ihrer Liste der vulnerabelsten Adressaten.

Man stellt verwundert fest, dass lediglich knapp mehr als ein Drittel der KMU den externen Zugriff auf Kunden- oder interne Daten als eines der größten Risiken bei einem Cyberangriffen nennt. NIS2, DSGVO und andere gesetzliche Auflagen fordern ein hohes Schutzniveau. Doch offenbar verfängt diese Keule der Regulatorik samt Androhung hoher Strafen (u.a. persönliche Haftung von Geschäftsführern und Vorständen) nicht.

Warum nach einem Ransomware-Angriff in Panik geratene Unternehmenslenker sich für die Zahlung von Lösegeld entscheiden? Die Gründe hierfür ist eine Mischung aus technischer Unzulänglichkeit und psychischer Ausnahmesituation: Backup- und Recovery-Systeme fehlen, bzw. wurden keinem Stresstest unterzogen, akuter Zeitdruck durch Betriebsstillstand, Angst vor angedrohter Veröffentlichung sensibler Daten.

Lösegeldzahlung erfolgt, Problem bleibt bestehen

Also zahlen viele Unternehmen Lösegeld, entgegen dem Rat von IT-Security-Experten. Wie viele Firmen sich so entscheiden, ist nicht exakt bekannt, denn die Dunkelziffer dürfte hoch sein.

Die Zahlung von Lösegeld ist laut dem Versicherer Hiscok aber hoch riskant und führe häufig nicht zum Ziel: Von denjenigen KMU in Deutschland, die Lösegeld gezahlt haben, konnten 37 Prozent ihre Daten nur teilweise und 27 Prozent gar nicht wiederherstellen. Macht in Summe 64 Prozent aus.

"Wir raten entschieden davon ab, im Ransomware-Fall Lösegeld zu zahlen. Die Erfahrung zeigt: Selbst nach einer Zahlung bleiben Daten sehr häufig verloren, Systeme müssen neu aufgebaut werden", sagt Klemens Lemke, Underwriting Manager Cyber bei Hiscox Deutschland.

Lösegeldzahlung versichert – wohl keine gute Idee

Man muss in diesem Zusammenhang hinzufügen, dass die Cyberversicherer nicht ganz unschuldig sind, wenn Unternehmen an Hacker Lösegeld zahlen. Zumindest in älteren Policen der noch jungen Cyberversicherung sind Lösegelder mitversichert. In der Branche wird eifrig diskutiert, ob ein solche Deckung nicht abgeschafft werden muss. In den USA sind solche Zahlungen verboten, wenn die Erpresser auf Sanktionslisten stehen. In Frankreich hat der Gesetzgeber strenge Auflagen an Lösegeldzahlungen geknüpft, in Deutschland dauert eine Verbotsdebatte noch an.

Zahlungsbereitschaft erhöht die Wiederholungsgefahr

Lösegeld zu zahlen ist auch deshalb keine gute Idee, weil es das Risiko weiterer Angriffe erhöhe, sagt Klemens Lemke von Hiscok. Das Phänomen "Double-Dipping", also der erneute Angriff auf dasselbe Opfer, liegt Studien zufolge bei 80 Prozent.

Im Report "Ransomware: The True Cost to Business" stellt der IT-Security-Anbieter Cybereason fest, dass es in vielen Fällen die gleichen Wiederholungstäter sind, die erneut zuschlagen. Das Opfer wird als "zahlungsbereit" markiert. Noch schlimmer: Es hat die die ursprüngliche Sicherheitslücke nach dem ersten Vorfall nicht vollständig geschlossen. Das ist geradezu eine Einladung an einen guten alten Bekannten, den niemand gerne ein zweites Mal treffen will.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden