Incident-Responder im Gespräch: Wie man sich bei Lösegeldforderungen verhält

Inhaltsverzeichnis

Montagmorgen, alles steht still, und in den Druckern des Unternehmens liegen Papierstapel, die darüber informieren, dass das Unternehmen kompromittiert wurde und man nur eine gewisse Summe in Kryptowährung bezahlen müsse, schon wäre der Albtraum vorbei.

Zu diesem Zeitpunkt treten Incident-Response-Dienstleister wie Patrick Münch auf den Plan, die die Backups auf Hintertüren durchleuchten und einen Krisenstab bilden, um das Unternehmen wieder hochzufahren. Zeit ist dabei ein wertvolles Gut, das nur die wenigsten Produktivbetriebe haben.

Mehr zu IT-Security

• Incident-Responder im Gespräch: Wie man sich bei Lösegeldforderungen verhält
• Schutz bis zum Patch: Cisco Live Protect für Netzwerk-Switches im Test
• Vertraulich: Eigene Verschlüsselungskeys für die Azure-Cloud
• Wie man mit Spectre Cloud-Systeme angreift
• WinPEAS und LinPEAS: Skripte für die Rechteausweitung vorgestellt
• BSI-Report 2025: Keine Entwarnung
• Kritik an GnuPG und seinem Umgang mit gemeldeten Lücken
• Security: Webanwendungen mit Zed Attack Proxy zur Laufzeit prüfen
• Sicherheitslücken vorbeugen: Auf Credential-Suche mit TruffleHog
• Cybersicherheit: Das ändert sich durch das NIS2-Umsetzungsgesetz
• Die neuen OWASP Top Ten 2025

iX-tract

• Zwar raten BSI und Polizei dazu, unter keinen Umständen Lösegeldforderungen von Ransomwareerpressern nachzukommen. Die Dunkelziffer an Organisationen, die dennoch darauf eingehen, ist allerdings hoch.
• Hinter den Ransomwareangriffen stecken Gruppen, die in hohem Maß professionalisiert vorgehen und klar definierte wirtschaftliche Interessen haben.
• Unser Interviewpartner hat als Experte für Incident Response im Auftrag angegriffener Unternehmen Lösegeldverhandlungen geleitet und gibt Einblicke in die Verhandlungsführung.

So kommt es, dass sich nicht wenige Unternehmen darauf einlassen, die Forderungen der Erpresser zu erfüllen, um nicht bankrottzugehen. Münch leitete die Verhandlungen mit solchen Gruppen und gewährt hier Einblicke in seinen früheren Arbeitsalltag.

Im Interview: Patrick Münch

Patrick Münch ist Pentester und Securityberater und baute bei der SVA GmbH ein Team für Penetrationstests und Incident Response auf. 2020 gründete er zusammen mit anderen DevOps- und Securityexperten das Unternehmen Mondoo. Ziel war es, die Erfahrung aus jahrelanger Praxis in das Produkt Agentic Vulnerability Management zu überführen, um Unternehmen dabei zu helfen, ihre Angriffsfläche systematisch zu reduzieren und sich proaktiv gegen Cyberangriffe zu wappnen. Bei Mondoo ist er als CSO tätig.

Niemals Lösegeld bezahlen!

Hintergrund des hier veröffentlichten Interviews ist der Umstand, dass Organisationen, die von Cyberkriminellen erpresst werden, in vielen Fällen das geforderte Lösegeld bezahlen. Das Interview dient ausschließlich der Information darüber, wie solch ein Prozess abläuft und welche Faktoren hierbei eine Rolle spielen. Es ist jedoch ausdrücklich nicht als Handlungsempfehlung zu verstehen: Erpresste Organisationen sollten sich stets an die Strafverfolgung sowie an professionelle Incident-Response-Dienstleister wenden.

Das BSI gibt dazu an: „Jede Lösegeldzahlung macht eine Erpressung zum Erfolg für den Erpresser und motiviert diesen und andere potenzielle Angreifer zur Fortsetzung und Weiterentwicklung der Angriffe. Außerdem besteht das Risiko, dass nach einer Zahlung nicht das erhoffte Ergebnis eintritt oder weitere Forderungen erhoben werden.“

Patrick Münch im Interview

iX: Herr Münch, wie startet eine Lösegeldverhandlung?

Münch: Ich umreiße dafür vielleicht am besten kurz, wie ein Hackerangriff an sich vonstattengeht. Es beginnt mit dem Initial Access. Der erfolgt entweder über einen Client wie eine Mail, einen Link oder Ähnliches, oder über einen Server, zum Beispiel über eine Datenbank mit einem Exploit, die über das Internet erreicht werden kann. Dieser Initial Access wird dann ausgebaut, es geht darum, Server zu übernehmen und die höchsten Rechte im Netzwerk zu erlangen. Während das passiert, pflanzt der Angreifer bereits weitere Backdoors in das Unternehmen, um sich dort auch ohne den Initial Access weiter bewegen zu können – im Schnitt mindestens fünf bis zehn, Ausreißer nach oben gibt es definitiv.

Diese Backdoors werden dann weiterverkauft?

Ja. Mittlerweile weniger über Darknet-Marktplätze im TOR-Netzwerk, da es nicht mehr sicher ist. Die „neue“ Anlaufstelle ist I2P – völlig neu ist das Netzwerk aber auch nicht. Der Angreifer, der die Backdoors benutzt, ist dann auf zwei Dinge aus: die Unternehmensdaten zu verschlüsseln und sie zu stehlen, um mit Veröffentlichung zu drohen. Es wird dabei zurzeit sogar zunehmend mit Leaks gedroht. Das liegt daran, dass es mittlerweile gute Snapshot-Techniken gibt, mit denen Unternehmen wieder an ihre unverschlüsselten Daten gelangen können.

Aber sind solche Leaks wirklich so sensibel, dass man ein Unternehmen damit garantiert unter Druck setzen kann?

Allgemein schon. Der Druck ergibt sich aus den rechtlichen Vorgaben: Wer ein Geschäft hat, das mit privaten Kundendaten hantiert, fällt natürlich unter die DSGVO. Gehen diese Daten verloren, ist das innerhalb von 72 Stunden zu melden, sonst muss das C-Level mit ziemlich saftigen Strafen rechnen, die bis zu 10 Prozent des Gesamtumsatzes betragen können. So hart wurden die Datenschutzstrafen bisher allerdings sehr selten abgeurteilt.

Die heute agierenden Hackergruppen arbeiten aber mittlerweile wie professionelle, gewinnorientierte Unternehmen – das heißt, sie setzen den Betrag des Lösegelds bewusst so an, dass er neben solchen Strafen wie das kleinere Übel wirkt. So gewährleisten sie, dass ihre zum Teil breit gestreuten Angriffe profitabel bleiben.

Wie wird dieser Betrag von den Angreifern kommuniziert?

Üblich ist eine Ransomware Note, die sich dann auf den kompromittierten Systemen findet. Da sie unübersehbar sein soll, wird sie gerne auch mal ausgedruckt – auf jedem Drucker des Unternehmens, bis das Papier leer ist. Die Ransomware Note enthält einen Schlüssel, den man auf der Webseite der Angreifer eingibt, damit sie das Unternehmen identifizieren können. Sie stellen dann eine eigene Seite für die Opfer bereit, auf der sich auch eine kleine Datei entschlüsseln lässt, um aufzuzeigen, dass verschlüsselte Unternehmensdaten wirklich wiederhergestellt werden können. Außerdem ist eine Anleitung dabei, wie sich ein Unternehmen die Lösegeldsumme in Kryptowährung beschaffen und damit bezahlen kann. Einen Support gibt es auch. An dem Punkt begann von unserer Seite aus die Wiederherstellung des Unternehmens, während wir die Verhandlungen mit dem Support in Form eines Chats starteten.

Bevor wir auf die Bezahlung mit Kryptowährungen eingehen – um welche zeitlichen Dimensionen handelt es sich hier? Wie viel Zeit hat das Unternehmen nun beispielsweise?

Bis im Unternehmen wieder Ordnung herrscht, dauert es im Schnitt 23 Tage. Unser Ziel war aber, dass in zehn Tagen wieder alle Prozesse laufen, die es für einen rudimentären Betrieb benötigt. Für Produktivbetriebe mit Just-in-time-Lieferketten sind zehn Tage Stillstand aber eigentlich schon viel zu lang, da sprechen wir eher von drei Tagen Stillstand, bis ein Bankrott droht. Die Lieferkette in ein bis zwei Tagen wieder auf die Beine zu stellen hatte hier also höchste Priorität und bedurfte unter Umständen einiger Manpower von der gesamten Belegschaft.