Cybersicherheit: Ransomware – Zahlen oder nicht zahlen, das ist die Frage.
Bis jetzt war es eigentlich klar: Erpresser sollte man nicht bezahlen. Das ist nach wie vor auch die Empfehlung der zuständigen Behörden. Doch wenn Ransomware zum Ernstfall führt, fällt die Entscheidung nicht leicht. Schliesslich kann es sehr teuer werden, wenn ein Unternehmen für Tage oder gar Wochen blockiert wird. Dann werden auch ethische Bedenken sehr schnell in den Hintergrund gedrängt. Deshalb ist es umso wichtiger, die richtigen Vorsorgemassnahmen zu treffen.
#Governance Risk Compliance #Security Awareness #Security Risk Assessment #SIEM #Cyber Defense Center #Vulnerability Management
Offiziell rät die Melde- und Analysestelle Informationssicherung (Melani) des Bundes dringend davon ab, im Falle einer Ransomware-Attacke Lösegeld zu bezahlen. Der Leiter der Behörde, Pascal Lamia lässt keine Zweifel offen: “Wir raten grundsätzlich immer davon ab, Lösegeldforderungen nachzukommen“, sagte er kürzlich in den Medien. Allerdings sei dies nur eine Empfehlung an betroffene Unternehmen - diese müssten im Ernstfall selber entscheiden. Er fügt bei, dass viele betroffene Unternehmen zu wenig in die IT-Sicherheit investiert hätten.[1]
Ein durchschnittlicher Ransomware-Angriff dauert 7,3 Tage
Auch die Experten bei Forrester vertreten die Meinung, dass sich das Zahlen von Lösegeld lohnen kann. Die Forrester-Analysten Josh Zelonis und Trevor Lyness schreiben in einem neuen Report: “Wir empfehlen, dass Sie, Lösegeld zumindest als eine praktikable Option betrachten, auch wenn Sie sich vorgenommen haben, es nicht zu bezahlen. Der durchschnittliche Ransomware-Angriff dauert 7,3 Tage. Während dieser Zeit kommt der Geschäftsbetrieb zum Stillstand, und Ihr Unternehmen muss neue Wege finden, um seine Kernaufgaben zu erfüllen.“
Aktuell machen gerade zwei Städte in Florida Schlagzeilen, die beide mehr als 500‘000 Dollar an Erpresser zahlten, die ihre IT lahmgelegt hatten.[2]Leider sind das keine Einzelfälle, auch in Europa werden solche Forderungen bezahlt.[3]
Gute Argumente gegen die Bezahlung von Erpressergeldern
Argumente, Erpresser nicht zu bezahlen, beruhen oft auf ethischen Überlegungen. Die Bezahlung schafft Anreize und belohnt kriminelle Aktivitäten. Die Wachstumsraten der Cybercrime-Branche sind jetzt schon beträchtlich und die Auswirkungen in vielen Fällen verheerend. Längst sind es nicht mehr Hobby-Hacker und Kleinkriminelle, die sich in der Branche tummeln. Es sind IT-Professionelle, die ihre Dienste an die Mafia, Terroristen und auch Regierungen verkaufen. Das Geschäft läuft glänzend, denn das Risiko ist gering, die Gewinne sind hoch[4]; Ransomware-Zahlungen schaffen eine reichlich sprudelnde Einnahmequelle für Kriminelle.
Gegen die Bezahlung spricht aber auch ein praktischer Grund: Die Opfer wissen nicht, ob ihre Zahlung den gewünschten Effekt haben wird. Die Erpresser sind anonym und können versprechen, was sie wollen. Experten gehen sogar davon aus, dass die Bezahlung solcher Forderungen das Risiko weiterer Attacken auf das gleiche Ziel erhöht. Trotz alledem kann eine betroffene Organisation nicht davon abgehalten werden, auf eine Erpressung einzugehen. Auch wenn es generell unangemessen ist, sich an rechtswidrigem Verhalten zu beteiligen, verstösst diese Art der Beteiligung nicht gegen das Gesetz.
Mitarbeiter können gefährlich sein
Was also tun? Unternehmen müssen damit rechnen, dass sie attackiert werden und sich entsprechend vorbereiten. Dazu gehören angemessene Investitionen in Cybersicherheit, eventuell eine entsprechende Versicherung sowie die Fähigkeit, das System nach einer Katastrophe hundertprozentig wieder herstellen zu können. Sehr wichtig ist auch, dass Unternehmen wissen, wie mit Kryptowährung umgegangen wird[5]. Lösegeld wird nämlich im Cyberspace bezahlt, wo die Spur nicht verfolgt werden kann - Bitcoin ist nachweislich die bevorzugte Erpresserwährung.
Ransomware, also sogenannte Erpressertrojaner, geraten nicht einfach so in ein Firmen-IT-System. Es ist bekannt, dass die Menschen das schwächste Glied in der Kette sind[6]. Es sind jene Mitarbeiter, die auf Links klicken, auf die sie nie klicken sollten oder Webseiten besuchen, die sie nie besuchen sollten. Auch das Öffnen von unbekannten E-Mail-Dateien kann sehr, sehr teuer werden. Hier hilft Schwachstellenmanagement und Schulung als Teil der Investition in die Cybersicherheit - bevor es zu spät ist.
Betrifft uns nicht? Garantiert ein fataler Irrtum…
Die grösste Gefahr für Ihr Unternehmen ist der Glaube, dass Sie nicht Ziel von Cyber-Angriffen werden. Da es nur eine Frage der Zeit ist, bis Sie der erste richtige Angriff trifft, müssen Sie sich Ihrer Infrastruktur bewusst werden und mithilfe fortschrittlichster Technik einen klaren Blick auf sicherheitsrelevante Informationen entwickeln.
UMB entdeckt bekannte Schwachstellen auf Ihren Systemen und analysiert den Datenverkehr mit fortschrittlichsten Log- und Risk-Management Technologien, sowie Network Activity Monitoring. Es enttarnt die Profile Ihrer Angreifer und enthüllt versteckte Sicherheitsgefahren bevor diese Ihrem Unternehmen Schaden anrichten können. Entscheiden Sie sich noch heute für eine Security Analyse durch das UMB Security Intelligence Team und kontaktieren Sie mich unverbindlich.
[1] NZZ, 17.6.2019 Warum es sich für Firmen lohnen kann, Lösegeld an Cyber-Kriminelle zu zahlen
[2] ZDNet.com, 26. Juni 2019 Second Florida city pays giant ransom to ransomware gang in a week
[3] Spiegel.de, 3. März 2016 Erpressung mit Trojaner - Stadtverwaltung zahlte Lösegeld
[4] Computerworld, 22.2.2018 600 Milliarden Dollar Schaden durch Cybercrime
[5] Bitcoin.org, 2019 Loslegen mit Bitcoin
[6] Digital Society Report, 11.3.2019 Cybersicherheit: kein Strom, keine Zivilisation
