Kategorien
Cybercrime Blog: IT-Strafrecht & Technologiestrafrecht

Ransomware: Lösegeld an die Erpresser bezahlen?

Lösegeld bei Ransomware bezahlen – oder nicht? Wenn ein Unternehmen von Ransomware betroffen ist, dreht sich schnell alles um die Frage, ob man der Lösegeldforderung nachkommt. Die Einstellung der Behörden zu dieser Frage ist sehr einfach: Auf keinen Fall. Das ist vom kriminalistischen und generalpräventiven Standpunkt aus auf jeden Fall berechtigt und nachvollziehbar.

Jedenfalls so lange ist dieser Ansatz berechtigt, wie man nicht selber betroffen ist: Die Verschlüsselten Daten können den Ruin, also die Insolvenz, für das gesamte Unternehmen bedeuten. Und selbst wenn man die straf- und Zivilrechtliche Verantwortung (aka Haftung) als Geschäftsführung ausser Acht lässt, so besteht dennoch die Verantwortung nicht nur für den Bestand des Unternehmens sondern eben auch für die Existenz der Arbeitnehmer, deren Jobs akut bedroht sind. Also: Zahlen?

Eine Studie gibt zwar keine pauschale Antwort, aber der Blick auf andere schärft den Fokus, zumal die Zahlung von Ransomware-Lösezahlungen ebenso wieder Haftungsbegründend sein kann für die Geschäftsführung – selbst wenn der Betrieb dann doch fortbesteht.

Sophos-Studie gibt Einblicke

Eine Studie von Sophos aus 2021 unter dem Titel „The State of
Ransomware in Financial Services 2021
“ gibt einige Einblicke hinter die Kulissen im Bereich der Finanzdienstleistungen. Unter anderem ging es darum um die Frage der Zahlungswilligkeit und auch die Prüfung der Frage, wie sicher man seine Daten zurück erhält.

Wurde nach Ransomware-Attacke gezahlt?

Laut Sophos ergab die Umfrage, dass eine gewisse Zahlungsbereitschaft besteht, die Finanzdienstleister aber deutlich geringer bereit sind, Lösegeld zu zahlen als die meisten anderen Branchen. So kam wohl jedes vierte Finanzdienstleistungsunternehmen (25 %), dessen Daten verschlüsselt wurde, einer Lösegeldforderung nach, was unter dem Durchschnitt von 32 % liegt.

Die Studie ergibt, dass diese Branche in der Lage ist, sehr gut Daten zu sichern und wieder herzustellen, auf Grund der guten Backup Politik könnte deswegen eine geringere Bereitschaft zu zahlen vorhanden sein, so Sophos.

Ransomware: Lösegeld an die Erpresser bezahlen? - Ferner: Rechtsanwalt für Strafrecht, Verkehrsrecht, IT-Recht Aachen
Quelle: Sophos, The State of Ransomware in Financial Services 2021, Seite 6

Interessant ist, dass in dem Bereich Energie, Öl/Gas und Versorgungdie „Zahlungswilligkeit“ für ein Lösegeld am größten ist mit immerhin 43 % .
Die Sutie meint dazu, dass in diesem Bereich in der Regel deutlich veraltete IT-Infrastruktur vorhanden ist, die auch nicht ohne weiteres aktualisiert werden kann. Dies könnte den gefühlten Druck das Lösegeld zu zahlen erhöhen, um auf diesem Weg die Betriebskontinuität aufrecht zu erhalten.
Wohl wenig überraschend liegt an zweiter Stelle die Kommunalverwaltung. Sophos sieht hier überraschenderweise eine grundlegende Bereitschaft der lokalen Behörden, das Lösegeld zu zahlen – das könnte wiederum Angreifer dazu veranlassen, ihre komplexeren und effektiveren Angriffe gerade auf diese Zielgruppe zu konzentrieren.

Zahlung des Lösegelds = Teilweise Daten zurück

Der Sinn der Lösegeldzahlung ist, die Daten zurück zu erhalten – doch mit welcher Sicherheit gibt es die Daten nun wieder? In entsprechenden Verhandlungen warnen Ermittler sehr häufig, dass es keine Garantien gibt und man mitunter für wenig bis gar nichts zahlt. Diese Warnung ist wohl berechtigt, wie die Sophos-Studie aufzeigt:

Denn diejenigen, die das Lösegeld zahlten, erhielten laut Studie nicht alle ihre Daten zurück! Die Chancen, alle Daten zurückzubekommen, sind statistisch gering, selbst wenn man vollständig zahlt.

Dabei betont die Untersuchen, dass die Anzahl der Befragten aus dem Finanzdienstleistungssektor nicht hoch genug war, um zuverlässige
Schlussfolgerungen zu ziehen. Im Durchschnitt wurde berichtet, man habe nur
63 % der Daten nach Zahlung zurückerhalten – mehr als ein Drittel der Daten war unzugänglich. Im gesamten Durchschnitt waren es 65 %. Insgesamt haben nur 4 % der befragten Finanzdienstleister, die das Lösegeld gezahlt haben, alle ihre Daten zurückerhalten; und 33 % erhielten die Hälfte oder weniger ihrer Daten zurück.

Die Studie mutmaßt, dass es sich dabei nicht einmal um Absicht der Erpresser handelt, sondern dass das Problem vielmehr darin liegt, dass die Angreifer mehr Zeit und Mühe in die Entwicklung starker Verschlüsselungswerkzeuge investieren als in ihre notwendigen Entschlüsselungs-Tools.

Es drängt sich auf, dass sich die Ransomware-Zahlung jedenfalls statistisch wohl nicht auszahlt (so auch das Fazit der Studie). Leider lassen sich keine starken Verallgemeinerungen bilden, da die Datengrundlage wohl zu klein ist. Zumindest ist es eine Orientierung.


Kosten einer Ransomware-Erpressung

Wer rein wirtschaftlich denkt und „rechnet“, der muss in eine Kostengegenüberstellung der Zahlung neben das potentielle Verlustrisiko auch die sonstigen Kosten einstellen, um reflektiert entscheiden zu können.

Insoweit ist daran zu Erinnern, dass es erhebliche weitere Kosten gibt, mit der Studie ist hier zu Recht zu Erinnern an folgende Kostenfaktoren:

  • Lösegeld
  • Kosten für die Wiederherstellung und Sicherung der IT-Systeme
  • Öffentlichkeitsarbeit
  • forensische Analyse.

Die Sophos-Untersuchung kommt zu dem Ergebnis, dass dem Finanzdienstleistungssektor im Durchschnitt Kosten für die Beseitigung von Ransomware in Höhe von ca. 2,10 Millionen US-Dollar entstehen (unter Berücksichtigung von Ausfallzeiten, verlorenen Arbeitsstunden, Gerätekosten, Netzwerkkosten, entgangenen Chancen, Lösegeldzahlungen, gesetzliche und behördliche Geldstrafen). Dies liegt oberhalb des sonstigen Durchschnitts von
1,85 Millionen US-Dollar.

Lösegeld bei Ransomware zahlen - oder nicht? Rechtsanwalt Ferner zur Frage ob man das Lösegeld bei Ransomware zahlen soll.

Lösegeld bei Ransomware zahlen – oder nicht? Es kommt auf den Einzelfall an – die Situation ist bereits vergiftet – wenn die Backup-Politik nicht geschützt hat, dann geht es um Schadensbegrenzung und die Frage, welche Kröte man schluckt.

Haftungsfalle Ransomware-Lösgeld

Wie zu Beginn schon angesprochen: Pauschale Überlegungen werden sich verbieten. Die generalpräventiven Gedanken, dass Zahlungen nur die Ransomware-Szene stärken sind auf jeden Fall richtig; doch muss einem Vorstand respektive einer Geschäftsführung klar sein, dass der eigene Ärger mit dem (erfolgreichen) Ransomware-Angriff nur beginnt. Es drängt sich ja quasi im Moment des Angriffs die Frage auf, ob ein Organisations- oder Delegationsversagen der Leitung vorlag, dass zu einem Mangel an Sicherungsmaßnahmen führte.

Doch diese Frage vertieft sich dann mit der Zeit nur weiter, aus meiner Sicht zu naiv ist der Gedanke, dass alleine das Nicht-Zahlen problemlos ist (zumal man damit behördlichen Hinweisen folgt). Der Blick auf die, sicherlich nicht repräsentativen, Zahlen oben macht deutlich, dass man einerseits mit einem ernsthaften Risiko rechnen muss, dass die Zahlung versandet und man seine Daten nicht (vollständig) zurückerhält. Andererseits muss das realistische Risiko gesehen werden, dass die Firma auf Grund der Verschlüsselung gerade handlungsunfähig ist.

Was für den Laien auf den ersten Blick wie ein Argument pro Zahlung aussehen könnte, ist juristisch gleichwohl von erheblicher Brisanz (die bisher noch weitgehend ignoriert wird) – das durch die Verschlüsselung handlungsunfähige Unternehmen, das seiner wirtschaftlichen Werte beraubt ist, kann in diesem Moment de facto in Überschuldung geraten sein, etwa wenn die laufende Produktion komplett lahmgelegt ist und für den Fortbestand notwendige Umsätze wegbrechen. Das Ergebnis wäre eine persönliche Haftung der nach § 15b Abs.1 InsO (vormals §64 GmbhG) für Zahlungen nach diesem Moment – worunter auch das Lösegeld fallen kann.

Nach einem ersten flüchtigen Blick kann es also durchaus eine unternehmerische Entscheidung sein zu zahlen, gerade die könnte aber eine Haftung eröffnen, die bis zur persönlichen Haftung führt. Und wer nicht zahlt und dem Unternehmen zusieht, wie es ruiniert wird? Der muss nicht nur diskutieren, ob das die richtige Entscheidung war (was mit Blick auf Empfehlung der Behörden und obige Zahlen vertretbar wäre), sondern muss diskutieren, ob er versäumt hat, im Rahmen seiner Pflichten die präventiv-notwendigen Maßnahmen zu treffen. Und während der Angriff als solcher beim aktiven, vorsätzlichen Handeln eines kriminellen Dritten keine Haftung auslösen dürfte, ist die Diskussion hinsichtlich der vorher unterlassenen Maßnahmen voll eröffnet. Insbesondere, wenn keine funktionierende Backup-Politik existiert hat im Moment des Angriffs.

Avatar of Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafverteidiger)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT-Recht & Strafverteidiger)

Unsere Rechtsanwälte sind spezialisiert auf Strafverteidigung im gesamten Strafrecht sowie Beratung von Unternehmen im IT-Recht. Rechtsanwalt Jens Ferner ist Strafverteidiger und Fachanwalt für IT-Recht, im Strafrecht spezialisiert auf Cybercrime, Wirtschaftsstrafrecht und BtMG sowie im IT-Recht auf Softwarerecht, Datenschutzrecht und IT-Sicherheitsrecht.

Strafverteidiger-Notruf: 01579-2374900