Das Ransomware-Dilemma

Zahlen oder nicht zahlen, das ist hier die Frage

Datum
3. Januar 2017
Autor

Zusammenfassung

Seit über zehn Jahren erpressen Cyberkriminelle Firmen mit Ransomware. Vor allem in den USA, immer häufiger aber auch in Europa. Ransom heißt auf Englisch Lösegeld. Und genau das verlangen Cyberkriminelle, die Computer oder Netzwerke sperren und Dateien verschlüsseln. Mit der stetig steigenden Gefahr stellt sich die Frage, ob sich Firmen freikaufen (to ransom) sollen, wenn ihre IT-Infrastruktur angegriffen wird.

Wenn Ärzte Notfälle abweisen müssen

Verschlüsselungstrojaner oder Erpressungstrojaner verbreiten sich über verseuchte E-Mails (Phishing) oder gehackte Webseiten (Watering hole attack). Ein Klick genügt – und die Ransomware verschlüsselt sämtliche Dateien auf dem Computer oder im gesamten Netzwerk. Das kann den laufenden Betrieb gefährden. Oder im schlimmsten Fall sogar Menschenleben, wie der Angriff auf das Hollywood Presbyterian Medical Center am 5. Februar 2016 gezeigt hat. Die Mitarbeitenden konnten weder auf das Netzwerk noch auf die sensiblen Patientendaten zugreifen und mussten einige Notfälle abweisen.

Wie viel ist ein Menschenleben wert?

Erst nach einer Lösegeldzahlung von 17.000 Dollar in Bitcoin erhielt das Krankenhaus vom Erpresser die Schlüssel, um alle Dateien zu entschlüsseln, und konnte seinen normalen Betrieb wiederaufnehmen. Nach dem Angriff begründete CEO Allen Stefanek die Entscheidung: «Das Lösegeld bezahlen war der schnellste und effizienteste Weg, unsere Systeme und Verwaltung wiederherzustellen.» Laut FBI bewegen sich die Lösegeldforderungen in der Regel zwischen 200 und 10.000 Dollar. Es sind aber auch Fälle bekannt, wo die Opfer Hunderttausende Dollar bezahlten.

Weshalb Sie ein Lösegeld zahlen sollten

Mit seiner Meinung ist Stefanek nicht allein. Am Cybersecurity Summit 2015 in Boston gab Joseph Bonavolonta, der für das FBI Cyber and Counterintelligence Program verantwortlich ist, zu: «Um ehrlich zu sein, empfehlen wir den Opfern oft, einfach das Lösegeld zu bezahlen.» Zum einen, weil die Ransomware so gut sei, zum anderen, weil die erpressten Beträge meist gering seien und den großen Aufwand nicht rechtfertigen würden. Außerdem würden fast alle Erpresser ihr Wort halten und nach der Lösegeldzahlung alle Dateien wieder freigeben und die Opfer in Ruhe lassen.

Weshalb Sie kein Lösegeld zahlen sollten

Bonavolontas pointierte Aussage sorgte für so viel Wirbel, dass FBI-Sprecherin Kristen Setera sie später relativierte: «Das FBI empfiehlt nicht grundsätzlich, Lösegelder zu bezahlen.» Ähnlich sehen das viele Sicherheitsexperten. Sie fürchten, dass Erpresser die Dateien nicht entschlüsseln, mehr Lösegeld fordern, weil ihr Opfer bereit ist zu zahlen, oder ihr Opfer mit derselben Masche wieder erpressen. In den USA rät das Department of Homeland Security allen Ransomware-Opfern, weder zu verhandeln noch Lösegeld zu bezahlen, damit das Geschäftsmodell der Erpresser nicht funktioniert.

Fazit: Vorbeugen ist besser als heilen

Zahlen oder nicht? Jeder muss für sich abwägen, wieviel dafür- und wieviel dagegenspricht – und entscheiden. Wie Allen Stefanek und das Hollywood Presbyterian Medical Center. Wie bei jeder Erpressung gilt: Wer nachgibt, macht sich erpressbar. Am besten wäre es, es gar nie so weit kommen zu lassen. Das heißt, sich so gut wie möglich vor Angriffen mit Ransomware zu schützen:

  • Alle Mitarbeitenden sensibilisieren
  • Alle Daten regelmäßig und redundant sichern
  • Betriebssystem und Applikationen laufend aktualisieren
  • Virenschutz mit Firewall installieren und regelmäßig aktualisieren

Im Falle eines Falles

Falls Sie trotzdem angegriffen und erpresst werden, bewahren Sie kühlen Kopf. Für viele Trojaner gibt es Schlüssel, welche die Behörden bei ihren Ermittlungen entdecken und zur Verfügung stellen, zum Beispiel auf www.nomoreransom.org. Informieren Sie auf alle Fälle die Behörden, auch wenn Sie Ihre Dateien entschlüsseln können. Die Kontaktdaten der Zentralen Ansprechstellen Cybercrime der Länder und des Bundes finden Sie auf der Webseite der Allianz für Cyber-Sicherheit. Übrigens: Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, nicht zu bezahlen.