„Die höchste Lösegeldforderung betrug 15 Millionen US-Dollar“
Cyberangriffe sind heute professionell organisiert und längst zu einem globalen Geschäftsmodell geworden. Im Interview mit Florian Weyand von der WirtschaftsWoche spricht Oliver Schneider, Geschäftsführender Gesellschafter von RiskWorkers und Kidnap-Response-Consultant, über seine Erfahrungen aus realen Ransomware-Fällen. Dabei gibt er Einblicke in die Strukturen hinter den Angriffen, den Ablauf von Verhandlungen und die Herausforderungen, vor denen Unternehmen im Ernstfall stehen.
Cyberkriminalität funktioniert wie ein Franchise-System
Hinter vielen großen Ransomware-Angriffen stehen keine Einzeltäter, sondern professionell organisierte Netzwerke. Oliver Schneider beschreibt das Modell als „Ransomware-as-a-Service“: Eine zentrale Organisation stellt Infrastruktur, Schadsoftware und Plattform bereit. Die eigentlichen Angreifer arbeiten als eine Art Franchisenehmer unter dem Namen der jeweiligen Hackergruppe und sind am Erlös beteiligt. Die Täter selbst sind weltweit verteilt – von Osteuropa über Westafrika bis nach Südamerika.
Der eigentliche Angriff beginnt lange vor der Erpressung
In vielen Fällen verschaffen sich die Täter zunächst über gestohlene Zugangsdaten Zugriff auf das Unternehmensnetzwerk. Dort bewegen sie sich oft über Wochen oder sogar Monate unbemerkt, analysieren die Infrastruktur, suchen nach Backups und kopieren sensible Daten. Erst wenn sie ihre Ziele erreicht haben, verschlüsseln sie Systeme und hinterlassen ihre Lösegeldforderung.
Zwischen Forderung und Einigung liegen oft Welten
Die Höhe der Forderungen orientiert sich an Größe und wirtschaftlicher Leistungsfähigkeit eines Unternehmens. Die kleinste Zahlung, die Oliver Schneider bislang begleitet hat, lag bei 8.000 US-Dollar, die höchste Forderung bei 15 Millionen US-Dollar. In der Praxis liegt ein Deal häufig zwischen 10 und maximal 50 Prozent der ursprünglichen Forderung – abhängig von der jeweiligen Situation und dem Zeitdruck des Unternehmens.
Auch Cyberkriminelle leben von ihrer Reputation
Obwohl es keine Garantien gibt, spielen Vertrauen und Reputation selbst in der Welt der Cyberkriminalität eine Rolle. Professionelle Ransomware-Gruppen sind darauf angewiesen, dass ihr Geschäftsmodell funktioniert. Deshalb wird die jeweilige Tätergruppe vor einer Verhandlung sorgfältig bewertet. Nach den Erfahrungen von Oliver Schneider führten die von ihm begleiteten Fälle bislang stets zu einer funktionierenden Entschlüsselung der Daten und einer Nichtveröffentlichung der entwendeten Informationen.
Den vollständigen Beitrag finden Sie bei der WirtschaftsWoche (kostenpflichtig).
Gerne unterstützen wir Sie bei der Vorbereitung auf Cyberangriffe sowie im Ernstfall in der strukturierten Bewältigung von Ransomware-Vorfällen – von der ersten Lageeinschätzung bis zur Verhandlung. Hier erhalten Sie weitere Informationen und Antworten auf häufige Fragen zu Ransomware und Cyber-Erpressung.