Cybercrime : Was Ransomware wirklich kostet

Von Jahr zu Jahr wird ein kontinuierlicher Anstieg um 24 Prozent von Ransomware-Angriffen auf Unternehmen weltweit beobachtet. Erst vergangene Woche bezifferte das Bundeskriminalamt die Summe des durch Ransomware verursachten Schadens allein in Deutschland auf 24,3 Milliarden für das Jahr 2021.

Klar ist: Es sind nicht nur die Lösegeldzahlungen, die diese Summe verursachen. Die „Nebenkosten“ eines Ransomware-Angriffs sind in der Regel viel höher als das Lösegeld selbst und die Bedrohungsakteure gehen mit perfiden Verhandlungstaktiken, die minutiös geplant sind, vor, um ihre Oper zum Zahlen zu bringen.

Untersuchungen zeigen, dass die Erpressungskosten im Vergleich zu anderen Verlusten, die das Opfer erleidet, marginal sind. Die meisten Verluste, einschließlich Reaktions- und Wiederherstellungskosten, Rechtskosten und Überwachungskosten, fallen unabhängig davon an, ob die Erpressungsforderung bezahlt wurde oder nicht. Das Jahr 2020 zeigte, dass die durchschnittlichen Gesamtkosten eines Ransomware-Angriffs mehr als siebenmal höher waren als das durchschnittlich gezahlte Lösegeld.

Dabei verlangen die Cyberkriminellen meist eine Summe, die sich am Jahresumsatz des Opfers orientiert und zwischen 0,7 und fünf Prozent liegt. Die Festlegung der Summe und eine detailliert geplante Verhandlungsmethodik sind Teil einer ausgefeilten Strategie, um die Zahlungschancen zu erhöhen.

Finanzieller Spielraum und Qualität der Daten

Ransomware-Gruppen besitzen klare Strukturen und Systeme für erfolgreiche Verhandlungen mit den Opfern. Beispielsweise spielen Zahlungsfähigkeit und finanzielle Lage des Opfers eine wichtige Rolle: Die Gruppe „Conti“ verwendet beispielsweise Datensätze von Zoom Info und DNB, um den Jahresumsatz des Opfers zu ermitteln. Allerdings sind diese Angaben manchmal nur Schätzungen und stimmen somit nicht mit den tatsächlichen Einnahmen des Opfers überein. Diese Tatsache kann wiederum sehr schnell zu einer problematischen Lösegeldverhandlung führen. Das Team von Conti sucht daher in den gestohlenen Informationen oft nach Hinweisen auf Bankdaten, um die Bargeldreserven des Opfers besser zu verstehen.

Auch die Qualität der vom Opfer „gestohlenen“ Daten bestimmt die Verhandlungen: So exfiltriert die Conti-Gruppe nicht nur Daten, sondern verschlüsselt parallel auch die Zielsysteme. Unter Umständen ist die Verschlüsselung aber nur teilweise gelungen, so dass kritische Systeme nicht betroffen sind. In anderen Fällen handelt es sich bei den „gestohlenen“ Daten um unkritische Informationen. In solchen Fällen sind die Betreiber von Conti bei den Verhandlungen ein Wenig flexibler und nachgiebiger.

Reputation und Verhandlungsführung

Der Ruf ist das wichtigste Aushängeschild einer Ransomware-Gruppe. Wenn Opfer bekannt machen, dass die Conti-Gruppe die verschlüsselten Daten nicht zur Verfügung stellt oder sogar vertrauliche Informationen trotz Zahlung des Lösegelds veröffentlicht oder weiterverkauft, könnte dies der Reputation der Organisation schaden und somit künftige Opfer von der Zahlung abhalten. Die Conti-Gruppe scheint ihren Ruf sehr ernst zu nehmen und arbeitet daher mit Vermittlern, die unterstützend nach bezahltem Lösegeld eingreifen und in unserem Fall zwei Kunden zu einer ordnungsgemäßen Entschlüsselung ihrer Daten verhalfen.

Das Team von Conti untersucht die gestohlenen Daten auch auf Dokumente, die sich auf den möglichen Einsatz einer Cyberversicherung beziehen könnten. Conti bevorzugt Unternehmen, die über eine solche Versicherung verfügen, da sie eine höhere Chance auf eine erfolgreiche Zahlung bieten. Auch das Gegenüber spielt eine wichtige Rolle: In einem Erpressungsfall beauftragt das Opfer häufig ein externes Lösegeldverhandlungsteam, das die Gespräche mit den Cyberkriminellen steuert.

Dieses Vorgehen kann in einigen Fällen den Prozess optimieren und beschleunigen. Es kommt sogar vor, dass die Cybergruppe mit denselben Unterhändler:innen über unterschiedliche Lösegeldfälle verhandelt. Im ungünstigsten Fall sind die Verhandlungsführenden so aufgestellt, dass sie ihre Ansprechpartner:innen verärgern und somit ein rasches Ende der Verhandlungen provozieren.

Dauer des Angriffs

Zu den schwerwiegenden Auswirkungen eines Ransomware-Angriffs gehört die Betriebsunterbrechung, die dadurch verursacht wird, dass einige oder alle Teile eines Unternehmens aufgrund des Angriffs nicht mehr arbeiten können. Dies kann unter anderem auf die Verschlüsselung von wichtigen Servern, Datenbanken oder Endgeräten der Mitarbeitenden zurückzuführen sein.

Auf der Grundlage der umfangreichen Datenbank von Kovrr zu Cybervorfällen, die jedes Jahr Daten zu Tausenden von Ransomware-Ereignissen enthält, konnten wir die durchschnittliche und mittlere Dauer der durch Ransomware-Angriffe verursachten Betriebsunterbrechung ermitteln.

Aus den Daten geht hervor, dass die durchschnittliche Dauer eines Ransomware-Angriffs von 2017 bis 2020 stetig anstieg und dann im Jahr 2021 auf 9,9 Tage leicht zurückging. Wir glauben, dass der Höchststand im Jahr 2020 und der Rückgang im Jahr 2021 vor allem auf die Zunahme von Angriffen mit doppelter Erpressung zurückzuführen sind, die im Jahr 2020 begannen. Diese Angriffe überraschten die Unternehmen und führten zu langen Verhandlungen zwischen Angreifenden und Opfern. Als dieser Trend an Popularität gewann und sich bis 2021 fortsetzte, erstellten Unternehmen bessere Reaktionspläne, um Ransomware-Ereignisse einzudämmen und so die Dauer eines Angriffs zu verkürzen. Insbesondere so ein Plan auf Ransomware-Angriffe kann Unternehmen viel Ärger und Geld sparen.