Ransomware: Niemals zahlen - oder?

12.05.2020
G DATA Blog

Seit dem Aufkommen von Ransomware empfehlen Experten aus aller Welt, kein Lösegeld für seine Daten zu zahlen, um Nachahmer abzuschrecken. Doch wie bei so vielen Fragestellungen in der IT-Sicherheit gibt es auch hier eine unbequeme Grauzone, in die wir uns einmal vorwagen wollen.

Wenn es um das Thema „Ransomware“ und die Frage geht „Zahlen oder nicht?“, galt bisher immer der Grundsatz „Niemals zahlen“. Der Grund dafür: Wenn Opfer von Ransomware-Angriffen die geforderten Lösegelder zahlen, bekommt das Geschäftsmodell weiter Auftrieb. Für viele ist es auch eine Grundsatzfrage, die in letzter Zeit aber immer wieder zur Diskussion gestellt wurde. 

Vorbeugung ist immer besser als Heilung

Natürlich darf die Zahlung eines Lösegeldes für verschlüsselte Daten nie der erste Gedanke sein, wenn erst einmal die Lösegeldforderung auf dem Bildschirm erscheint. Wer die richtigen Vorkehrungen getroffen hat, ist auf der sicheren Seite. Einfach das Backup zurückspielen und im schlimmsten Fall vielleicht ein paar Stunden Arbeit zu verlieren, ist grundsätzlich das Mittel der Wahl. Doch die Erfahrung hat auch gezeigt, dass nicht jedes Unternehmen oder jede Privatperson für den Ernstfall vorgesorgt hat. Entweder existieren Backups nicht, sind veraltet oder lassen sich nicht wiederherstellen. Oder es ist der „Worst Case“ eingetreten: Die Backups sind ebenfalls verschlüsselt. In diesem Fall kann guter Rat sehr teuer sein. 

Die gute Nachricht ist: Für viele Ransomware-Arten gibt es mittlerweile zuverlässige Entschlüsselungswerkzeuge, die zumindest einen Teil der Daten retten können. Auf das Vorhandensein eines Gratiswerkzeuges zu hoffen, ist jedoch ebenfalls keine Lösung. Sieht ein Unternehmen sich mit diesem Szenario konfrontiert, geht es um den Fortbestand des Unternehmens. Sind wirklich alle Daten verschlüsselt, dann bleibt nur noch die Hoffnung, dass man es mit einem „ehrlichen“ Erpresser zu tun hat, der einem bei Zahlung auch tatsächlich die Daten wieder entschlüsselt. Betroffene sind also dem Täter (oder der Tätergruppe) auf Gedeih und Verderb ausgeliefert. Um es weiter zuzuspitzen: Es geht darum, ob die Unternehmensleitung in den sauren Apfel beißt und das Lösegeld zahlt – oder ob die Firma untergeht. 

Vor dieser Wahl möchte niemand wirklich stehen. Wenn es allerdings so weit kommt, muss das Unternehmen eine Entscheidung treffen – auch mit Unterstützung von Polizei und Sachverständigen. Steht fest, um welche Ransomware es sich handelt, und dass die Zahlung auch wirklich zu einer Entschlüsselung führt, dann ist die Zahlung des Lösegeldes hier vielleicht das kleinere Übel – und womöglich die letzte Hoffnung für das betroffene Unternehmen. 

Nüchterne Zahlen

Auch rein wirtschaftliche Überlegungen können bei der Beantwortung der Frage „Zahlen oder nicht?“ eine Rolle spielen. Verlangt ein Erpresser vom Unternehmen nur wenige hundert Euro, dem aber Ausgaben in Höhe von mehreren zehntausend Euro gegenüberstehen, ist der Gedanke an eine Lösegeldzahlung durchaus eine Überlegung wert. Fakt ist: So oder so müssen Betroffene Geld investieren, um Absicherungsmaßnahmen gegen ähnlich gelagerte künftige Fälle zu treffen. Kommen zu diesen Aufwendungen auch noch Kosten für eine aufwendige forensische Untersuchung, bei deren Abschluss nicht klar ist, ob die Daten wiederherstellbar sind und ob die Täter überhaupt ergriffen werden können, ist die Abwägung letztendlich eine rein wirtschaftliche. Hier müssen die Entscheidungsträger unter Umständen auch einem Aufsichtsrat gegenüber Rechenschaft ablegen, warum sie die eine oder die andere Lösung gewählt haben. Wenn jede Stunde Stillstand tausende Euro kostet und eine forensische Aufarbeitung Tage dauert, dann kommen schnell schwindelerregende Kosten zusammen. Die Reederei Möller-Maersk hat das am eigenen Leib erlebt: Als NotPetya 2017 das Netzwerk des Logistikunternehmens traf, standen innerhalb weniger Stunden weltweit hunderte LKW, Züge und Containerschiffe still. Die Menge an beförderten Gütern nahm auf einen Schlag um 20 Prozent ab. Insgesamt belief sich der Schaden nach Schätzungen auf etwa 300 Millionen Dollar. Andere Unternehmen wie etwa der Pharmakonzern Merck hatten bei dieser Angriffswelle ähnlich hohe Einbußen zu verzeichnen. 

Eine Frage der Abwägung

Bevor ein betroffenes Unternehmen allerdings die Zahlung eines Lösegeldes erwägt, sollten die Verantwortlichen dies sorgfältig überlegen. Denn die Zahlung hat mitunter Signalwirkung für andere Unternehmen. 

  1. Haben Sachverständige versichert, dass die von den Tätern in der Vergangenheit zur Verfügung gestellten Decrypter tatsächlich geleistet, was sie versprochen haben?
  2. Entfernt der Einsatz des Decrypters mit Sicherheit alle Spuren der Ransomware (sofern diese noch vorhanden sind)?
  3. In welchem Verhältnis stehen die Lösegeldsumme und die Ausfallkosten im Falle einer Nichtzahlung? 
  4. Innerhalb welches Zeitraumes kann nach einer Zahlung wieder mit der regulären Arbeit begonnen werden?

Grundsätzlich gilt aber auch weiterhin die Annahme, dass Unternehmen nach einer  Lösegeldzahlung nicht zwangsläufig ihre Daten zurück bekommen. Eine generelle Regel existiert leider nicht – jeder Fall ist anders gelagert und muss auch so bewertet werden. Denn es gibt – wie im Falle von NotPetya – auch Schadprogramme, die zwar aussehen wie Ransomware, aber rein auf die Zerstörung von Daten ausgelegt sind. Eine Wiederherstellung von Daten ist hier überhaupt nicht möglich. 

Media-Downloads

 OTon_Ransomware_WannZahlen.wav

O-Ton (Rundfunk) mit Tim Berghoff zu "Ransomware: Zahlen oder nicht?" 44.1 kHz *.wav-Datei, Länge: 3 Minuten

Tim Berghoff
Security Evangelist

Die besten Beiträge per E-Mail

  • Aktuelle Beiträge
  • Jederzeit kündbar