Medienmitteilung vom 30. Juli 2019 der Melde- und Analysestelle Informationssicherung MELANI: «In den vergangenen Wochen wurden Schweizer Unternehmen erneut Ziel von Angriffen, mit der Angreifer Unternehmensnetzwerke erfolgreich infiltrieren und deren Daten mittels einem Verschlüsselungstrojaner grossflächig verschlüsseln.» MELANI rät dringend davon ab, nach einem erfolgreichen Angriff das verlangte Lösegeld zu bezahlen. Trotz dieses dringenden Aufrufs zum Nichtzahlen gibt es Stimmen, die in bestimmten Lagen die Bezahlung des Lösegeldzahlung nach einem erfolgreichen Cyberangriff als die beste Lösung erachten.
 

Das ist die klare Meinung der Melde- und Analysestelle Informationssicherung MELANI

In der Medienmitteilung «Update Verschlüsselungs-Trojaner: Neue Vorgehensweise» vom 30. Juli 2019 rät MELANI den von einem erfolgreichen Cyberangriff betroffenen Unternehmen klipp und klar: «Generell rät MELANI davon ab, Lösegeld zu bezahlen, da man damit die Kriminellen unterstützt und es ihnen ermöglichet, ihre Infrastruktur auszubauen und damit weitere Opfer zu erpressen. Ausserdem gibt es keine Garantie, die Schlüssel für die Wiederherstellung der Daten zu bekommen.»
 

Warum es sich trotz der MELANI-Empfehlung lohnen kann, Lösegeld zu bezahlen

Unter dem Titel «Warum es sich für Firmen lohnen kann, Lösegeld an Cyber-Kriminelle zu zahlen» hat die «Neue Zürcher Zeitung» unlängst dargelegt, weshalb eine Lösegeldzahlung an Cyberkriminelle entgegen der offiziellen MELANI-Empfehlung zuweilen eine lohnende «Investition» ist. Die NZZ-Argumentation stützt sich namentlich auf den Bericht «Ransom amounts rise 90% in Q1 as Ryuk increases» von Coveware, einem Unternehmen, das sich auf die Bekämpfung von Ransomware spezialisiert hat.
Laut der Analyse von Coveware dauert es im Schnitt über eine Woche, bis die Computersysteme von betroffenen Unternehmen nach erfolgreichen Cyberangriffen wieder normal funktionieren. Wegen entgangener Umsätze und Zusatzarbeit entsteht dadurch pro Fall im Mittel ein Schaden im Gegenwert von gut 65'000 Franken. Die durchschnittlich von den Erpressern geforderte Summe beläuft sich aber lediglich auf knapp 13'000 Franken. Typischerweise macht diese Lösegeldforderung mithin lediglich 10 bis 20 Prozent des potenziellen Schadens aus. «Kein Wunder, zücken angesichts dieser Zahlen etliche Unternehmen nach einem erfolgreichen Cyberangriff ihr Bitcoin-Wallet», folgert die NZZ.
 

Cyberkriminelle liefern nach der Lösegeldzahlung zumeist das Tool zur Datenentschlüsselung

Die Analyse von Coveware zeigt zudem auf: Entgegen der Warnung von MELANI halten die allermeisten Cyberkriminellen ihr Wort: 96 Prozent der von erfolgreichen Cyberangriffen betroffenen Unternehmen erhalten nach der Zahlung des Lösegelds das notwendige Tool zur Datenentschlüsselung. Allerdings gingen beim Einsatz der Entschlüsselungssoftware im Durchschnitt sieben Prozent der Daten verloren, weil die Software nicht absolut zuverlässig arbeitete.
 

Arbitrage auf Kosten der Opfer

Im NZZ-Artikel wird auf ein weiteres Phänomen aufmerksam gemacht: Laut der Studie «The Trade Secret: Firms That Promised High-Tech Ransomware Solutions Almost Always Just Pay the Hackers» der New Yorker Recherche-Stiftung Pro Publica haben sogenannt spezialisierte Informationstechnologieanbieter, die den von Cyberangriffen betroffenen Unternehmen die Entschlüsselung der Daten mit «neuster Technologie» versprachen, einfach heimlich anstelle ihrer Kunden das Lösegeld an die Cyberkriminellen bezahlt. Die Differenz zwischen dem Honorar und dem Lösegeld strichen sie als Gewinn ein. Deshalb ist es wohl von Vorteil, das Lösegeld selbst zu bezahlen, wenn sich dies aufgrund einer sorgfältigen Lagebeurteilung als das kleinste Übel entpuppt.
 

Wie schützt man sich?

Wie man sich umfassend vor Cyberangriffen schützt, wird von der Melde- und Analysestelle Informationssicherung MELANI hier dargelegt.