Häufige Fragen zu Cyber-Erpressung und Ransomware

Wenn Unternehmen von Cyber-Erpressung betroffen sind, stehen sie häufig vor denselben Fragen: Soll man zahlen? Werden Daten veröffentlicht? Kann man den Tätern vertrauen?

Aus unserer Erfahrung lassen sich diese Fragen selten pauschal beantworten. Die folgenden Fragen und Antworten geben eine erste Orientierung und beleuchten technische, wirtschaftliche, rechtliche und strategische Aspekte eines Ransomware-Angriffs. Die Erläuterungen ersetzen keine individuelle Beratung, helfen jedoch dabei, Risiken besser einzuordnen und fundierte Entscheidungen zu treffen.

Lösegeld, Verhandlungen und Tätergruppen

Fragen zu Lösegeldforderungen, Täterkommunikation und typischen Verhaltensmustern von Ransomware-Gruppen

Muss man Lösegeld zahlen? +

Die Frage, ob ein Unternehmen nach einem Ransomware-Angriff Lösegeld zahlen sollte, lässt sich nicht pauschal beantworten. Jede Krisensituation erfordert eine individuelle Bewertung technischer, rechtlicher, wirtschaftlicher und operativer Faktoren.

Die Zahlung eines Lösegelds garantiert weder die vollständige Wiederherstellung verschlüsselter Daten noch die Löschung gestohlener Informationen. Unternehmen sollten zunächst prüfen, ob eine Wiederherstellung aus Backups möglich ist und welche Alternativen bestehen.

Expertenhinweis von RiskWorkers
In der Praxis erleben wir häufig, dass Unternehmen die Entscheidung „zahlen oder nicht zahlen“ zu früh diskutieren. Zunächst müssen die tatsächliche Schadenslage, die Wiederherstellungsfähigkeit und die Auswirkungen eines möglichen Datenabflusses bewertet werden. Erst dann lässt sich eine fundierte Entscheidung treffen.

Wie hoch sind typische Lösegeldforderungen? +

Die Höhe von Lösegeldforderungen variiert erheblich und hängt von Branche, Unternehmensgröße und der Einschätzung der Zahlungsfähigkeit durch die Täter ab.
Während kleinere Unternehmen häufig mit Forderungen im fünf- bis sechsstelligen Bereich konfrontiert werden, können bei größeren Mittelständlern und Konzernen Forderungen von mehreren Millionen Euro auftreten.

Expertenhinweis von RiskWorkers
Die erste Forderung ist selten die endgültige Forderung. Viele Tätergruppen kalkulieren bewusst Verhandlungsspielräume ein. Die ursprünglich genannte Summe dient häufig dazu, die Schmerzgrenze des Unternehmens auszuloten.

Werden gestohlene Daten immer veröffentlicht? +

Nein. Die Androhung einer Veröffentlichung dient häufig dazu, zusätzlichen Druck auf das betroffene Unternehmen auszuüben.

Mögliche Szenarien reichen von einer vollständigen Veröffentlichung über die schrittweise Veröffentlichung einzelner Datensätze bis hin zum Verkauf der Daten an Dritte. Ebenso kommt es vor, dass Daten trotz Angriff niemals veröffentlicht werden.

Expertenhinweis von RiskWorkers
Unternehmen sollten grundsätzlich davon ausgehen, dass gestohlene Daten veröffentlicht werden könnten. Kommunikations- und Krisenpläne sollten deshalb unabhängig von laufenden Verhandlungen vorbereitet werden.

Kann man mit Hackern verhandeln? +

Ja. Verhandlungen mit Cyberkriminellen sind heute ein fester Bestandteil vieler Ransomware-Fälle.

Dabei geht es nicht zwangsläufig um die Vorbereitung einer Zahlung. Verhandlungen können dazu dienen, Zeit zu gewinnen, Informationen zu sammeln, Täterangaben zu überprüfen und Handlungsoptionen offenzuhalten.

Expertenhinweis von RiskWorkers
Professionelle Verhandlungen verfolgen häufig mehrere Ziele gleichzeitig. Neben der finanziellen Komponente geht es oft darum, technische Nachweise einzufordern, die Ernsthaftigkeit der Täter einzuschätzen und zusätzliche Zeit für die Krisenbewältigung zu gewinnen.

Kann man den Erpressern trauen? +

Grundsätzlich nein. Cyberkriminelle handeln außerhalb jeder rechtlichen und vertraglichen Verpflichtung.

Gleichzeitig verfolgen viele Tätergruppen wirtschaftliche Interessen und möchten ihren „Ruf“ innerhalb der Cybercrime-Szene aufrechterhalten. Aus diesem Grund halten einige Gruppen bestimmte Zusagen häufiger ein als andere.

Eine Garantie gibt es jedoch niemals.

Expertenhinweis von RiskWorkers
Die entscheidende Frage lautet nicht, ob man den Tätern vertraut. Die entscheidende Frage lautet, welche Aussagen überprüfbar sind. Professionelle Verhandlungen basieren auf Verifikation, nicht auf Vertrauen.

Ist es verboten, Lösegeld zu zahlen? +

In Deutschland besteht derzeit kein generelles gesetzliches Verbot, nach einem Ransomware-Angriff Lösegeld zu zahlen.

Allerdings können regulatorische, versicherungsrechtliche oder sanktionsrechtliche Vorgaben relevant werden. Besonders bei internationalen Tätergruppen muss geprüft werden, ob Sanktionen oder Embargovorschriften betroffen sind.

Expertenhinweis von RiskWorkers
Vor jeder möglichen Zahlung sollten Unternehmen juristische Spezialisten einbeziehen. Die rechtliche Bewertung ist heute ein fester Bestandteil professioneller Krisenbewältigung.

Muss ein Unternehmen eine Kryptowallet besitzen? +

Nein. Unternehmen benötigen nicht zwingend eine eigene Kryptowallet.

Sollte eine Zahlung überhaupt in Betracht gezogen werden, erfolgt die technische Abwicklung häufig über spezialisierte Dienstleister, Versicherer oder andere eingebundene Experten.

Expertenhinweis von RiskWorkers
Viele Unternehmen beschäftigen sich erstmals während einer laufenden Krise mit Kryptowährungen. Die technische Zahlungsabwicklung sollte niemals improvisiert erfolgen, sondern professionell begleitet werden.

Ist es günstiger oder teurer, Lösegeld zu zahlen? +

Auch diese Frage lässt sich nicht pauschal beantworten.

Zu berücksichtigen sind unter anderem:

  • Höhe der Forderung
  • Dauer des Produktionsausfalls
  • Wiederherstellungskosten
  • Vertragsstrafen
  • Reputationsschäden
  • mögliche Datenveröffentlichungen
  • langfristige Sicherheitsmaßnahmen

Eine Lösegeldzahlung reduziert nicht automatisch die Gesamtkosten eines Vorfalls.

Expertenhinweis von RiskWorkers
Die tatsächlichen Kosten einer Cyber-Erpressung liegen häufig weit über der eigentlichen Lösegeldforderung. Betriebsunterbrechungen, Krisenkommunikation, Rechtsberatung, Forensik, Wiederaufbau und Reputationsschäden machen oft den größten Teil des Gesamtschadens aus.

Ablauf und Folgen eines Ransomware-Angriffs

Informationen zu Datenveröffentlichungen, Angriffsdauer, Folgekosten und möglichen Auswirkungen auf das Unternehmen

Wie lange dauert ein Ransomware-Angriff? +

Der technische Angriff selbst erfolgt häufig innerhalb weniger Stunden oder Tage. Die Auswirkungen auf das Unternehmen können jedoch Wochen oder Monate andauern.
Typischerweise lassen sich drei Phasen unterscheiden:

  • Akutphase (1–7 Tage)
  • Stabilisierungsphase (1–6 Wochen)
  • Wiederanlauf und Nachbereitung (mehrere Wochen bis Monate)

Expertenhinweis von RiskWorkers
Ein Ransomware-Angriff ist selten ein reines IT-Problem. In den meisten Fällen entwickelt sich daraus eine Unternehmenskrise, die Management, Kommunikation, Recht, Compliance und operative Geschäftsbereiche gleichermaßen betrifft.

Werden wir nach einer Zahlung erneut angegriffen? +

Eine Lösegeldzahlung schützt nicht vor zukünftigen Angriffen. Unternehmen, die Opfer eines Ransomware-Angriffs wurden, können grundsätzlich erneut Ziel derselben oder anderer Tätergruppen werden.

Cyberkriminelle tauschen Informationen innerhalb ihrer Netzwerke aus. Deshalb ist es wichtig, nach einem Vorfall nicht nur die unmittelbare Krise zu bewältigen, sondern auch die Sicherheitsarchitektur nachhaltig zu verbessern.

Expertenhinweis von RiskWorkers
Wir beobachten regelmäßig, dass Unternehmen die eigentliche Ursache des Angriffs unterschätzen. Wer lediglich Systeme wiederherstellt, ohne Sicherheitslücken zu schließen, erhöht das Risiko eines erneuten Vorfalls erheblich.

Woher wissen die Täter, wie viel wir zahlen können? +

Moderne Ransomware-Gruppen betreiben intensive Vorbereitungen. Sie analysieren häufig:

  • Unternehmensgröße
  • Umsatz und Gewinn
  • öffentliche Geschäftsberichte
  • Pressemitteilungen
  • Mitarbeiterzahlen
  • Marktposition
  • bestehende Cyberversicherungen

Die Höhe der Forderung basiert oft auf der geschätzten wirtschaftlichen Leistungsfähigkeit des Unternehmens.

Expertenhinweis von RiskWorkers
Viele Täter kennen das betroffene Unternehmen überraschend gut. In Verhandlungen wird häufig deutlich, dass bereits umfangreiche Recherchen durchgeführt wurden, bevor die Forderung gestellt wird.

Was passiert, wenn wir nicht reagieren? +

Wenn Unternehmen nicht auf die Forderungen eingehen, können Täter unterschiedlich reagieren.

Mögliche Folgen:

  • Veröffentlichung gestohlener Daten
  • Kontaktaufnahme zu Kunden oder Geschäftspartnern
  • Veröffentlichung auf Leak-Seiten
  • Verkauf der Daten an Dritte
  • Einstellung der Kommunikation

Jede Tätergruppe verfolgt unterschiedliche Strategien.

Expertenhinweis von RiskWorkers
Nicht jede Drohung wird umgesetzt. Gleichzeitig sollte keine Drohung ignoriert werden. Die tatsächliche Risikobewertung hängt von den konkreten Fähigkeiten, Motiven und bisherigen Verhaltensmustern der Tätergruppe ab.

Veröffentlichen Täter Kundendaten wirklich? +

Ja. Zahlreiche Tätergruppen haben in der Vergangenheit Kundendaten, Vertragsunterlagen, Finanzinformationen oder personenbezogene Daten veröffentlicht. Allerdings erfolgt nicht jede angedrohte Veröffentlichung tatsächlich.

Expertenhinweis von RiskWorkers
Die größte Herausforderung entsteht oft nicht durch die Veröffentlichung selbst, sondern durch den Vertrauensverlust bei Kunden, Partnern und Mitarbeitern. Deshalb sollte die Kommunikationsstrategie frühzeitig vorbereitet werden.

Kann man verhindern, dass Daten veröffentlicht werden? +

Eine hundertprozentige Garantie gibt es nicht. Selbst wenn Täter zusichern, Daten zu löschen oder nicht zu veröffentlichen, bleibt ein Restrisiko bestehen.

Expertenhinweis von RiskWorkers
Unternehmen sollten ihre Strategie niemals allein auf Zusagen der Täter aufbauen. Entscheidend ist die Vorbereitung auf den schlimmstmöglichen Verlauf der Krise.

Was kostet ein Ransomware-Angriff wirklich? +

Die Gesamtkosten setzen sich häufig aus zahlreichen Faktoren zusammen:

  • Betriebsunterbrechung
  • Wiederherstellung
  • Forensik
  • Rechtsberatung
  • Krisenkommunikation
  • Benachrichtigung Betroffener
  • Reputationsschäden
  • Sicherheitsmaßnahmen

In vielen Fällen übersteigen diese Kosten die eigentliche Lösegeldforderung deutlich.
Expertenhinweis von RiskWorkers
Aus Managementsicht ist die Lösegeldforderung häufig nur ein Teil des Problems. Die eigentliche Herausforderung liegt meist in den geschäftlichen Folgen der Krise.

Krisenmanagement und richtige Entscheidungen

Antworten zu Versicherungen, Behörden, Verhandlungen und zum professionellen Umgang mit Cyber-Erpressung

Können Cyberversicherungen Lösegeld übernehmen? +

Abhängig von Vertrag, Land und regulatorischen Vorgaben können Cyberversicherungen bestimmte Kosten übernehmen.

Dies kann beispielsweise umfassen:

  • Forensik
  • Krisenmanagement
  • Rechtsberatung
  • Kommunikationsberatung
  • technische Wiederherstellung

Ob eine Lösegeldzahlung selbst versichert ist, hängt von den jeweiligen Vertragsbedingungen ab.

Expertenhinweis von RiskWorkers
Unternehmen sollten Versicherer frühzeitig einbinden. Viele Policen enthalten Meldepflichten oder Vorgaben für das weitere Vorgehen, die berücksichtigt werden müssen.

Wie viel Nachlass ist bei Verhandlungen realistisch? +

Die Verhandlungsspielräume unterscheiden sich von Fall zu Fall erheblich.

Ein pauschaler Prozentsatz existiert nicht. Faktoren sind unter anderem:

  • Tätergruppe
  • Höhe der Ausgangsforderung
  • Zeitdruck
  • Wiederherstellungsfähigkeit des Unternehmens
  • Glaubwürdigkeit der Verhandlungsposition

Expertenhinweis von RiskWorkers
Erfolgreiche Verhandlungen basieren nicht auf aggressivem Feilschen. Entscheidend ist vielmehr, glaubwürdige Argumente aufzubauen und die Verhandlungsdynamik der Gegenseite zu verstehen.

Sollte die Polizei informiert werden? +

In vielen Fällen ist die Einbindung von Strafverfolgungsbehörden sinnvoll.

Behörden können:

  • Informationen zu Tätergruppen bereitstellen
  • Ermittlungen unterstützen
  • internationale Kontakte nutzen
  • Lagebilder ergänzen

Die Entscheidung sollte jedoch in die Gesamtstrategie des Krisenmanagements eingebettet werden.

Expertenhinweis von RiskWorkers
Die Zusammenarbeit mit Behörden und die operative Krisenbewältigung schließen sich nicht aus. Beide Ansätze können sinnvoll miteinander kombiniert werden.

Wer spricht mit den Erpressern? +

Die Kommunikation mit den Tätern sollte möglichst zentral gesteuert werden.

Unkoordinierte Kontakte durch verschiedene Personen können:

  • die Verhandlungsposition schwächen
  • widersprüchliche Informationen erzeugen
  • zusätzliche Risiken schaffen

Expertenhinweis von RiskWorkers
In vielen Fällen ist die Kommunikation mit den Tätern eine eigenständige Disziplin. Verhandlungserfahrung, psychologisches Verständnis und Krisenmanagement spielen dabei eine zentrale Rolle.

Wie erkennt man professionelle Ransomware-Gruppen? +

Professionelle Tätergruppen verfügen häufig über:

  • strukturierte Kommunikationskanäle
  • standardisierte Forderungen
  • technische Supportstrukturen
  • Leak-Webseiten
  • etablierte Verhandlungsprozesse

Das bedeutet jedoch nicht, dass ihre Aussagen automatisch glaubwürdig sind.

Expertenhinweis von RiskWorkers
Für die Bewertung einer Tätergruppe ist weniger entscheidend, wie professionell sie auftritt, sondern wie sie sich in vergleichbaren Fällen verhalten hat.

Was ist der größte Fehler nach einem Angriff? +

Der häufigste Fehler besteht darin, die Situation ausschließlich als IT-Sicherheitsvorfall zu betrachten.

Ransomware betrifft regelmäßig:

  • Geschäftsführung
  • Betrieb
  • Kommunikation
  • Recht
  • Compliance
  • Kundenbeziehungen
  • Lieferketten

Expertenhinweis von RiskWorkers
Die erfolgreichsten Unternehmen behandeln einen Ransomware-Angriff von Beginn an als Unternehmenskrise. Dadurch werden Entscheidungen schneller getroffen, Risiken besser bewertet und die Handlungsfähigkeit des Unternehmens erhalten.

Sprechen Sie uns an!