Fallbeispiel Cyber-Risiko – die unterschätzte Gefahr

Es war bereits spät am Freitagabend als es sich Markus D., Geschäftsführer eines Ingenieurbüros mit 14 Angestellten, endlich mit einem Glas Rotwein auf dem Sofa gemütlich machte. Die Kinder waren im Bett. Als er und seine Ehefrau, die ebenfalls im Büro angestellt war und das Back Office führte, einen Anruf bekamen. Claudia F., eine Kollegin, war völlig aufgelöst am anderen Ende: „Hier geht gar nichts mehr. Ich kann weder auf Dateien noch auf unsere Zeichenprogramme zugreifen. Die gesamten Unterlagen … ich verliere hier gleich die Nerven.“ Außer einer Nachricht, die bei Ihr am PC aufpoppte, war alles schwarz auf dem Bildschirm. Und das gerade jetzt. Wo doch die Ausschreibung für ein Großprojekt kurz vor dem Ende stand und am Montag eingereicht werden sollte. Alle Softwareanwendungen, Email-Programme, Dateien, Windows, das gesamte bürointerne LAN – alles stand. Was sie denn auf dem PC noch sähe, fragte Markus D. „Eine ellenlange Nachricht, weiß auf schwarzem Hintergrund. Irgendwas von 1 Mio. US-Dollar Lösegeld steht hier. Und obendrüber steht irgendwas mit Lockbit.“

Bildschirm schwarz – was nun?

So oder sehr ähnlich spielen sich mittlerweile fast täglich Szenarien ab, wenn Unternehmen von sog. Ransomware-Gruppen wie z.B. Lockbit angegriffen werden. Die Opferunternehmen sind nicht immer groß, nicht immer bekannt. Oft sind es kleine oder mittelständische Unternehmen. Auch Kanzleien, Zahnärzte, Baustoffhändler waren schon unter den Opfern. Was allerdings alle betroffenen Unternehmen vereint, ist die Tatsache, dass die Schwachstelle Mensch in 95 Prozent der Fälle der Grund für den Angriff ist. Wie im analogen Leben auch suchen die Täter metaphorisch gesprochen nach offenen Haustüren, Fenstern oder Kellern. Irgendjemand hat eben nicht abgesperrt, oder den Keil in die Türe gelegt. Wo sie diese Lücken erspähen, schlagen sie zu. Erst danach wird analysiert, wen sie denn da an der Angel haben und wieviel Geld man erpressen kann. 

Die Erpressungsgegenstände variieren. Entweder werden nur Daten und Programme verschlüsselt, sodass diese nicht mehr genutzt werden können. Oder es werden zudem noch Daten abgezogen, sodass das Unternehmen nicht mehr alleinige Besitzer ist. Die Täter drohen dann noch zusätzlich mit einer Veröffentlichung der Daten, was ebenfalls sehr schmerzhaft sein kann, wenn es sich um personenbezogene Informationen handelt. Einige Tätergruppen gehen sogar so weit, dass sie Mitarbeiter des Unternehmens kontaktieren und ihnen oder deren Familienmitgliedern Leid androhen. Wenn dann auch noch eine Lageanalyse durch die eigene IT oder den IT-Dienstleister, auf den man sich verlassen hat, ergibt, dass auch die Back-ups betroffen sind, wird es schnell ungemütlich.

1 Mio US-Dollar – zahlen oder nicht?

Die Opferunternehmen stehen nun vor einem Dilemma. Denn alle Optionen, die auf dem Tisch liegen haben Vor- und Nachteile. Der erste Reflex lautet meist, weil auch unter moralisch-ethischen Gesichtspunkten angebracht: In keinem Fall geben wir der Erpressung nach. Ich lasse weder mich noch meine Familie noch mein Unternehmen von irgendwelchen Kriminellen erpressen. So weit kommt es noch. Ich rufe jetzt erstmal die Polizei. Und auch die rät genau zu diesem Vorgehen. Was heißt das aber für den Fortbestand des Unternehmens? Wie hoch ist der Schaden pro Tag, solange ich die IT nicht nutzen kann? Welcher Umsatz entgeht mir eventuell, weil ich wie im Beispiel oben Aufträge auch nicht mehr an Land ziehen kann? Wie lange dauert es, bis alles wieder läuft? Was kostet mich das? Und komme ich überhaupt wieder auf einen Stand wie vor dem Angriff? Diese Fragen müssen beantwortet werden. Am besten hat man sich bereits im Vorfeld Gedanken gemacht und hat die Antworten schnell parat. 

Es kann nämlich auch passieren, dass die Lagebewertung zu dem Ergebnis kommt, dass ich in drei bis vier Wochen nicht mehr zahlungsfähig bin. Die Kosten für Wiederanlauf und Betriebsunterbrechung sind die Treiber im Bereich der Schadensumme. Eventuell ist der Schaden so groß ist, dass ggf. eine angemessene Lösegeldzahlung im wahrsten Sinne des Wortes das kleinere Übel darstellt. Denn Forderung der Täter ist ja nicht das, was ich bezahlen muss. Oder doch? Und wie läuft so eine Zahlung ab? Wer kann mir dabei helfen eine adäquate Lösung in dieser Krisensituation zu finden?

Wer hilft weiter?

Die Antworten auf die oben aufgeführten Fragen hatte Markus D. schnell parat. Er hatte vor 3 Jahren eine Cyber-Versicherung abgeschlossen. Und er konnte sich noch dunkel daran erinnern, dass da auch was von Lösegeld in der Police stand. Und eine 24/7-Hotline gab es da auch noch. Also ran an den Ordner. Völlig „old school“, auf Papier im eigenen Arbeitszimmer, stand dieser etwas verstaubt im Regal. Und siehe da, alles richtig. Und bei der Hotline nahm sogar noch jemand ab. „Läuft bei mir“, dachte er sich.

Die Forensik machte sich sofort daran den Schaden einzugrenzen, die Lücken im System zu schließen und eine erste Schadenhöhe zusammen mit dem Inhaber zu eruieren. Bezogen auf den Faktor Zeit und die zu erwartende Schadenhöhe in einem mittleren sechsstelligen Betrag war klar, dass es evtl. doch eine Option wäre mit den Tätern zu sprechen. Hierzu hat die Versicherung Verhandlungsspezialisten zur Verfügung gestellt, die die entsprechende Erfahrung im Umgang mit diesen Kriminellen mitbringen. Der Polizei ist es untersagt über Lösegeld zu verhandeln. Auch wenn dem Publikum jeden Sonntagabend im Tatort etwas anderes vorgegaukelt wird. 

Nach 5 harten Tagen des Verhandelns war ein Deal erreicht. Der Betrag war fünfstellig und der Entschlüsselungscode wurde zur Verfügung gestellt. Die IT-Forensik konnte danach sämtliche Systeme und Dateien entschlüsseln und man war am Tag 6 wieder voll einsatzfähig. Dem Kunden wurden die Ausschreibungsunterlagen mit 3 Tagen Verspätung zur Verfügung gestellt, da man um eine Fristverlängerung bat und diese eingeräumt bekam. Ende gut, alles gut? 

Wie kann ich vorbeugen?

Nicht immer gehen Ransomware-Angriffe so glimpflich aus, wie gerade eben geschildert. Chaos im Management, keine Erfahrung im Umgang und der Bewertung einer solchen Situation sind die Regel. Deshalb ist es wichtig sich im Vorfeld bereits Gedanken zu machen. Wie ist mein Unternehmen aufgestellt? Ist die Versicherungslösung adäquat und wird im Worstcase auch Lösegeld gecovert? Im Falle von Cyber-Versicherungen ist es viel wichtiger, als bei jeder anderen Versicherungslösung, dass nicht nur finanzielle Schäden gedeckt werden, sondern dass durch ein breites Assistance Netzwerk schnelle und professionelle Hilfe bereitsteht. Es müssen Spezialisten in das Krisenmanagement integriert werden, die bei der Lagebeurteilung und der Problemlösung unvoreingenommen und mit kühlem Kopf reagieren. Denn in diesem Fall wollen alle, Versicherer, Unternehmen und Krisenprofis das Gleiche – die Schäden für das betroffene Unternehmen so gering halten wie möglich. Und in dieser Situation stimmt ein Grundsatz mehr denn je: Zeit ist Geld. 

Autor: Oliver Schneider, Geschäftsführender Gesellschafter bei RiskWorkers