BVSW-Interview mit Axel Wochinger, Geschäftsführer der Result Group
Die Result Group ist eines der international führenden Beratungsunternehmen für globales Risiko- und Krisenmanagement und unterstützt Unternehmen, Behörden sowie exponierte Privatpersonen bei der Abwehr von kriminellen Angriffen. Der BVSW sprach mit Axel Wochinger über Ransomware-Attacken.
BVSW: Herr Wochinger, Ransomware bleibt eine der größten Cyberbedrohungen. Welche neuen Trends sehen Sie aktuell?
Ransomware-Angriffe haben in den letzten Jahren stark zugenommen und dieser Trend wird sich fortsetzen. Jedes Unternehmen, das IT einsetzt, stellt ein potenzielles Angriffsziel dar – vom Handwerksbetrieb bis zum DAX-Konzern. Künstliche Intelligenz verschärft die Lage zusätzlich, denn sie erleichtert Kriminellen die Erschließung neuer Angriffsvektoren, das Auffinden von Sicherheitslücken sowie die Durchführung automatisierter Angriffe. Zwar verstärken Unternehmen ihre Sicherheitsmaßnahmen, doch letztlich bleibt die Situation ein ständiger Wettlauf um Überlegenheit.
BVSW: Welche Maßnahmen sind innerhalb der ersten 24 Stunden nach einer Ransomware-Attacke wichtig?
Eine Erstmaßnahme ist es, den Schaden zu begrenzen. Dazu muss die gesamte IT vom Internet getrennt werden, um zu verhindern, dass die Angreifer weitere Teile des Netzwerks übernehmen. Gleichzeitig sollte der Krisenstab zusammentreten, um den Schaden zu bewerten und die nächsten Schritte zu koordinieren.
Meldepflichten müssen eingehalten werden. Einmal gegenüber einer möglicherweise vorhandenen Cyberversicherung sowie gegenüber den Datenschutzbehörden, wobei für Unternehmen, die der NIS2-Regelung unterliegen, noch striktere Meldefristen gelten. Schließlich sollte auch eine Strafanzeige bei der Polizei gestellt werden, denn ein Ransomware-Angriff ist eine Straftat.
Wichtig ist es auch, die sogenannte Ransom-Note zu sichern. Dabei handelt es sich um eine Nachricht der Erpresser, in der sie ihre Forderungen stellen. Wir empfehlen jedoch, die Ransom-Note weder zu öffnen noch eine planlose Kommunikation mit den Erpressern zu starten. Es besteht kein Zeitdruck in diesem Moment. Besser ist es, in Ruhe die nächsten Schritte zu planen.
BVSW: Welche typischen Fehler machen Unternehmen häufig bei Ransomware-Attacken?
Viele verfallen in eine operative Hektik. Dazu gehört beispielsweise eine vorschnelle Kontaktaufnahme mit den Tätern, obwohl man gar nicht in der Lage ist, eine angemessene Kommunikation zu führen. Auch eine planlose Kommunikation gegenüber Kunden und Mitarbeitern kann mehr schaden, als sie nützt. Oft wollen Betroffene auch so schnell wie möglich wieder arbeitsfähig werden und aktivieren Backups, ohne vorher ermittelt zu haben, wo genau sich die Täter im System befinden und wie sie hereingekommen sind. Möglicherweise werden die Backups dadurch unbrauchbar.
Entscheidend ist es, Ruhe zu bewahren und Struktur in das Geschehen zu bringen.
BVSW: Wie sieht ein Krisenstab für Cybervorfälle aus?
Jedes Unternehmen kann selbst festlegen, wer Teil des Krisenstabs wird. ISO-Normen zum Krisenmanagement können hier eine Orientierungshilfe darstellen. Im Kern braucht es einen erfahrenen Krisenstabsleiter, der nicht der Geschäftsführer selbst sein sollte, sondern jemand der ihm in der Hektik der Krise den Rücken freihalten kann. Dazu kommen der IT-Leiter, ein Vertreter der Rechtsabteilung, Forensik- und Kommunikationsexperten, die Compliance-Abteilung sowie gegebenenfalls ein Betriebsratsvertreter, etwa wenn Mitarbeiterdaten betroffen sind und. In produzierenden Unternehmen könnte noch jemand von der Produktion mit dabei sein, um zu klären, ob noch produziert werden kann und wie sich der Regelbetrieb wieder aufnehmen lässt.Externe Spezialisten und Berater, bspw. für Verhandlungsführung, Datenschutzrecht, Incident Response oder Krisenkommunikation können ebenfalls den Krisenstab ergänzen.
Wichtig dabei ist, dass der Krisenstab klein und schlagkräftig bleibt. Ein zu großes Gremium, das vor allem Verantwortung verteilt, wird im Ernstfall nicht funktionieren.
BVSW: Wie können Führungskräfte auch unter extremen Druck fundierte Entscheidungen treffen?
Das ist eine der großen Herausforderungen. Entscheidend ist es, die richtigen Leute im Krisenstab zu haben, jene, die auch in solchen Fällen Ruhe bewahren können. Deshalb auch mein Hinweis, dass der Geschäftsführer nicht Teil des Krisenstabs sein sollte. Er trägt die strategische Gesamtverantwortung und muss das große Bild im Blick behalten. Besser ist jemand mit Führungserfahrung im Unternehmen, der durchsetzungsstark ist und strukturiert arbeitet. Der Geschäftsführer wird nur für die wichtigen Entscheidungen dazugeholt, oder der Krisenstabsleiter brieft ihn. Eine gute Vorbereitung auf den Ernstfall ist ebenso wichtig, weshalb Unternehmen Krisenszenarien regelmäßig proben sollten. Wer ein solches Szenario schon einmal durchgedacht hat, fühlt sich handlungssicherer.
BVSW: Ist es sinnvoll mit den Angreifern zu verhandeln?
Die Ransome-Note verrät, mit welcher Tätergruppe man es zu tun hat und welche Forderungen sie stellt. Die Reaktion ist abhängig von der Lage: Hat das Unternehmen funktionierende Backups und sind die abgeflossenen Daten nicht besonders sensibel, kann man unter Umständen auf die Kommunikation gänzlich verzichten.Anders sieht es aus, wenn die IT schwer getroffen ist und/oder sehr sensible Daten abgeflossen sind. Dann lohnt sich die Kontaktaufnahme, aber nicht um direkt zu zahlen. Vielmehr geht es darum, Informationen über das Gegenüber zu gewinnen und Zeit zu überbrücken, während die Forensiker prüfen, ob sich die Daten vielleicht doch wiederherstellen lassen.
BVSW: Auf was für Leute trifft man bei solchen Verhandlungen?
Keineswegs auf die Klischeevorstellung des einsamen Hackers. Es handelt sich um hochprofessionelle Tätergruppen, die oft arbeitsteilig vorgehen. Die einen produzieren Schadsoftware, die anderen setzen sie als eine Art Franchisenehmer ein. Die Lösegeldforderungen werden auch nicht willkürlich festgelegt, sondern anhand der gewonnenen Daten kalkuliert. Umso wichtiger ist es, ebenfalls professionell und mit erfahrenem Personal in die Verhandlungen zu starten. Wir unterstützen Unternehmen dabei.
Die meisten Gruppen stammen aus dem osteuropäischem und asiatischem Raum und operieren bewusst aus Staaten mit einem schwachen Rechtssystem, um die Entdeckungswahrscheinlichkeit gering zu halten. In Ländern wie Nord-Korea oder Russland agieren sie bisweilen unter staatlicher Duldung, teilen Daten mit Geheimdiensten oder arbeiten direkt mit Regierungen zusammen. Kommuniziert wird fast ausschließlich über Darknet-Chatprogramme, seltener auch über anonymisierte E-Mails.
BVSW: Welche Kriterien sollten Unternehmen bei der Entscheidung über eine mögliche Lösegeldzahlung berücksichtigen?
Zwei Fragen stehen hier im Mittelpunkt: Welche Daten sind weg und lassen sie sich eventuell wieder herstellen? Manchmal zahlen Unternehmen, weil eine Entschlüsselung der Daten nicht möglich ist. Manchmal, weil Daten abgeflossen sind, die sie nicht in der Öffentlichkeit sehen wollen, oder weil der Angriff vertraulich bleiben soll.
Gegebenenfalls lässt sich der Lösegeldbetrag über geschicktes Verhandeln reduzieren, was allerdings stark von der Tätergruppe abhängig ist. Auf jeden Fall ist Fingerspitzengefühl gefragt: Wer zu stark verhandelt, riskiert die gesamte Vereinbarung zu gefährden. Erfahrung ist hier entscheidend.
BVSW: Wie stehen die Behörden zu Lösegeldzahlungen und ist man im Falle einer Zahlung die Täter wirklich los?
Die Behörden empfehlen generell nicht zu zahlen, weil man damit Kriminelle finanziert.Gleichzeitig müssen Unternehmen wirtschaftlich überleben und die Behörden wissen das auch. Wir verstehen uns hier als Mediator, der beide Interessen im Blick hat.
Generell besteht das Risiko, dass die Täter eine Vereinbarung nicht einhalten oder wiederkommen. Aber aus unserer Erfahrung und auch aus der Erfahrung anderer Verhandler ist das bisher jedoch noch nicht vorgekommen. Die Täter wollen als zuverlässige „Geschäftspartner“ gelten.Sobald eine Tätergruppe als unzuverlässig gebrandmarkt ist, wird das nächste Unternehmen nicht mehr zahlen. Aus dieser Logik heraus kann man davon ausgehen, dass die Vereinbarung eingehalten wird.
Eine solche Vereinbarung umfasst typischerweise einen Nichtangriffspakt, das Löschen der abgezogenen Daten und einen Entschlüsselungsmechanismus zur Wiederherstellung der gesperrten Systeme.
BVSW: Welche Risiken entstehen im Verlauf eines Ransomware-Angriffs?
Mittlerweile haben alle verstanden, dass jeder zum Opfer werden kann. Wer eine Ransomware-Krise professionell managt, muss keinen Reputationsschaden fürchten. Anders sieht es aus, wenn grobe Fahrlässigkeit die Krise erst ermöglicht hat oder das Krisenmanagement dilettantisch wirkte. Deshalb ist frühzeitige und professionelle Krisenkommunikation so wichtig.
Rechtliche Konsequenzen drohen, wenn die Geschäftsleitung das Thema IT-Sicherheit nachweislich vernachlässigt hat. In dem Fall kann es zu einer Geschäftsführerhaftung kommen. Kunden mit sehr hohen Datenschutzanforderungen könnten das Unternehmen verlassen oder rechtlich gegen das Unternehmen vorgehen.
Und wo grobe Fahrlässigkeit im Umgang mit Daten festgestellt wird, drohen hohe Bußgelder.
BVSW: Was unterscheidet Unternehmen, die eine Ransomware-Krise erfolgreich bewältigen, von denen, die daran scheitern?
Meist müssen mehrere Dinge zusammenkommen, ehe Unternehmen scheitern. Besonders gefährdet sind Unternehmen, die ohnehin schon in einem wirtschaftlich schwierigen Umfeld agieren, aus dem Cash-Flow heraus leben und keine oder unzureichende Versicherungen haben, oder Versicherungsobliegenheiten nicht erfüllt haben. Wenn dann ein Angriff kommt, fehlt schlicht der finanzielle Puffer, um die Krise zu überstehen.
BVSW: Welche Maßnahmen sollten Unternehmen heute ergreifen, um sich auf zukünftige Cyberbedrohungen einzustellen?
Der Faktor Mensch spielt immer eine zentrale Rolle, regelmäßige Schulungen der Mitarbeitenden sind daher unverzichtbar. Entscheidend ist aber auch immer, wie das System dahinter aufgestellt ist. Zwei-Faktor-Authentifizierung, eine restriktive Rechtevergabe, starke Passwörter, Netzwerksegmentierung und zuverlässige Backups zählen zum Mindeststandard. IT-Sicherheit ist ein Bereich, in den kontinuierlich investiert werden muss. Die Technik entwickelt sich immer weiter und jedes Unternehmen muss auf dem Laufenden bleiben. Was vor drei Jahren noch ausreichend war, ist heute längst überholt. Der Wettlauf zwischen Angreifern und Verteidigern beschleunigt sich immer weiter und Stillstand ist damit auch für Unternehmen keine Option.
Vielen Dank für das Gespräch!