Lösegeld bei Ransomware bezahlen – oder nicht? Wenn ein Unternehmen von Ransomware betroffen ist, dreht sich schnell alles um die Frage, ob man der Lösegeldforderung nachkommt. Die Einstellung der Behörden zu dieser Frage ist sehr einfach: Auf keinen Fall. Das ist vom kriminalistischen und generalpräventiven Standpunkt aus auf jeden Fall berechtigt und nachvollziehbar.
Jedenfalls so lange ist dieser Ansatz berechtigt, wie man nicht selber betroffen ist: Die Verschlüsselten Daten können den Ruin, also die Insolvenz, für das gesamte Unternehmen bedeuten. Und selbst wenn man die straf- und Zivilrechtliche Verantwortung (aka Haftung) als Geschäftsführung ausser Acht lässt, so besteht dennoch die Verantwortung nicht nur für den Bestand des Unternehmens sondern eben auch für die Existenz der Arbeitnehmer, deren Jobs akut bedroht sind. Also: Zahlen?
Eine Studie gibt zwar keine pauschale Antwort, aber der Blick auf andere schärft den Fokus, zumal die Zahlung von Ransomware-Lösezahlungen ebenso wieder Haftungsbegründend sein kann für die Geschäftsführung – selbst wenn der Betrieb dann doch fortbesteht.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Sophos-Studie gibt Einblicke
Eine fortlaufende Studie von Sophosunter dem Titel „The State of Ransomware“ gibt einige Einblicke hinter die Kulissen im Bereich der Finanzdienstleistungen. Unter anderem ging es darum um die Frage der Zahlungswilligkeit und auch die Prüfung der Frage, wie sicher man seine Daten zurückerhält. Die Studie wurde im Jahr 2022 neu aufgelegt und der vorliegende Artikel entsprechend angepasst. Links zur Studie:
- State of Ransomware 2021 (Direkt zum PDF)
- State of Ransomware 2022 (Download nach Eingabe persönlicher Daten)
Wurde nach Ransomware-Attacke gezahlt?
Laut Sophos ergab die Umfrage 2021, dass eine gewisse Zahlungsbereitschaft besteht, die Finanzdienstleister aber deutlich geringer bereit sind, Lösegeld zu zahlen als die meisten anderen Branchen. So kam wohl jedes vierte Finanzdienstleistungsunternehmen (25 %), dessen Daten verschlüsselt wurde, einer Lösegeldforderung nach, was unter dem Durchschnitt von 32 % liegt. Für das Jahr 2022 hat man eine Zahlungsquote je nach Branche von bis zu 50% ermittelt.
Die Studie ergibt, dass diese Branche in der Lage ist, sehr gut Daten zu sichern und wieder herzustellen, auf Grund der guten Backup Politik könnte deswegen eine geringere Bereitschaft zu zahlen vorhanden sein, so Sophos.
Interessant ist, dass in dem industriellen Bereich Energie, Öl/Gas und Versorgung die „Zahlungswilligkeit“ für ein Lösegeld am größten ist, mit immerhin 43 %. Im Bereich medizinische Versorgung lag man 2022 sogar bei über 60 %.
Die Studie meint dazu, dass in diesem Bereich in der Regel deutlich veraltete IT-Infrastruktur vorhanden ist, die auch nicht ohne weiteres aktualisiert werden kann. Dies könnte den gefühlten Druck, das Lösegeld zu zahlen erhöhen, um auf diesem Weg die Betriebskontinuität aufrechtzuerhalten.
Wohl wenig überraschend liegt an zweiter Stelle die Kommunalverwaltung. Sophos sieht hier überraschenderweise eine grundlegende Bereitschaft der lokalen Behörden, das Lösegeld zu zahlen – das könnte wiederum Angreifer dazu veranlassen, ihre komplexeren und effektiveren Angriffe gerade auf diese Zielgruppe zu konzentrieren.
Zahlung des Lösegelds = Teilweise Daten zurück
Der Sinn der Lösegeldzahlung ist, die Daten zurück zu erhalten – doch mit welcher Sicherheit gibt es die Daten nun wieder? In entsprechenden Verhandlungen warnen Ermittler sehr häufig, dass es keine Garantien gibt und man mitunter für wenig bis gar nichts zahlt. Diese Warnung ist wohl berechtigt, wie die Sophos-Studie aufzeigt:
Denn diejenigen, die das Lösegeld zahlten, erhielten laut Studie nicht alle ihre Daten zurück! Die Chancen, alle Daten zurückzubekommen, sind statistisch gering, selbst wenn man vollständig zahlt.
Dabei betont die Untersuchen, dass die Anzahl der Befragten aus dem Finanzdienstleistungssektor nicht hoch genug war, um zuverlässige Schlussfolgerungen zu ziehen. Im Durchschnitt wurde berichtet, man habe nur 63 % der Daten nach Zahlung zurückerhalten – mehr als ein Drittel der Daten war unzugänglich. Im gesamten Durchschnitt waren es 65 %. Insgesamt haben nur 4 % der befragten Finanzdienstleister, die das Lösegeld gezahlt haben, alle ihre Daten zurückerhalten; und 33 % erhielten die Hälfte oder weniger ihrer Daten zurück.
Die Studie mutmaßt, dass es sich dabei nicht einmal um Absicht der Erpresser handelt, sondern dass das Problem vielmehr darin liegt, dass die Angreifer mehr Zeit und Mühe in die Entwicklung starker Verschlüsselungswerkzeuge investieren als in ihre notwendigen Entschlüsselungs-Tools.
Es drängt sich auf, dass sich die Ransomware-Zahlung jedenfalls statistisch wohl nicht auszahlt (so auch das Fazit der Studie). Leider lassen sich keine starken Verallgemeinerungen bilden, da die Datengrundlage wohl zu klein ist. Zumindest ist es eine Orientierung.
IT-Sicherheitsrecht & Sicherheitsvorfall
Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!
Zahlungen trotz guter Backups?
Mitunter erfolgen Zahlungen, obwohl Daten aus Backups vollständig wiederhergestellt wurden – der Hintergrund liegt in der Praxis oft darin, dass alleine der Zugriff auf die Daten schon lange nicht mehr das einzige Motiv einer Zahlung ist! Tatsächlich dient die Zahlung regelmäßig der Vermeidung weiterer Konsequenzen, weil Ransomware-Attacken in mehreren Wellen erfolgen und verschiedene weitere Konsequenzen haben können, wie etwa das BKA anschaulich darstellt:
Kosten einer Ransomware-Erpressung
Wer rein wirtschaftlich denkt und „rechnet“, der muss in eine Kostengegenüberstellung der Zahlung neben das potentielle Verlustrisiko auch die sonstigen Kosten einstellen, um reflektiert entscheiden zu können.
Insoweit ist daran zu Erinnern, dass es erhebliche weitere Kosten gibt, mit der Studie ist hier zu Recht zu Erinnern an folgende Kostenfaktoren:
- Lösegeld
- Kosten für die Wiederherstellung und Sicherung der IT-Systeme
- Öffentlichkeitsarbeit
- forensische Analyse.
Die Sophos-Untersuchung kommt zu dem Ergebnis, dass dem Finanzdienstleistungssektor im Durchschnitt Kosten für die Beseitigung von Ransomware in Höhe von ca. 2,10 Millionen US-Dollar entstehen (unter Berücksichtigung von Ausfallzeiten, verlorenen Arbeitsstunden, Gerätekosten, Netzwerkkosten, entgangenen Chancen, Lösegeldzahlungen, gesetzliche und behördliche Geldstrafen). Dies liegt oberhalb des sonstigen Durchschnitts von
1,85 Millionen US-Dollar.
Lösegeld bei Ransomware zahlen – oder nicht? Es kommt auf den Einzelfall an – die Situation ist bereits vergiftet – wenn die Backup-Politik nicht geschützt hat, dann geht es um Schadensbegrenzung und die Frage, welche Kröte man schluckt.
Haftungsfalle Ransomware-Lösgeld
Wie zu Beginn schon angesprochen: Pauschale Überlegungen werden sich verbieten. Die generalpräventiven Gedanken, dass Zahlungen nur die Ransomware-Szene stärken sind auf jeden Fall richtig; doch muss einem Vorstand respektive einer Geschäftsführung klar sein, dass der eigene Ärger mit dem (erfolgreichen) Ransomware-Angriff nur beginnt. Es drängt sich ja quasi im Moment des Angriffs die Frage auf, ob ein Organisations- oder Delegationsversagen der Leitung vorlag, dass zu einem Mangel an Sicherungsmaßnahmen führte.
Doch diese Frage vertieft sich dann mit der Zeit nur weiter, aus meiner Sicht zu naiv ist der Gedanke, dass alleine das Nicht-Zahlen problemlos ist (zumal man damit behördlichen Hinweisen folgt). Der Blick auf die, sicherlich nicht repräsentativen, Zahlen oben macht deutlich, dass man einerseits mit einem ernsthaften Risiko rechnen muss, dass die Zahlung versandet und man seine Daten nicht (vollständig) zurückerhält. Andererseits muss das realistische Risiko gesehen werden, dass die Firma auf Grund der Verschlüsselung gerade handlungsunfähig ist.
Weitere Beiträge zum Thema IT-Sicherheit im Unternehmen:
- Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
- Haftung der Geschäftsführung für IT-Sicherheitslücken
- NIS2-Richtlinie und NIS2-Umsetzungsgesetz
- DORA
- Bug-Bounty-Programme – Strafbarkeit des Suchens nach Sicherheitslücken
- Aktualisierungspflicht für Software
- Neues Kaufrecht: Sicherheit als Mangel
- Pentesting: Vertrag über Penetrationstest
- Wie Unternehmen mit Ransomware erpresst werden
- Ransomware: Soll man das Lösegeld zahlen?
- Haftung des Arbeitnehmers bei Installation von Malware
- Fahrlässige Tötung und Schadsoftware im Krankenhaus
- Was tun nach einem Hackerangriff?
- Wie schützt man sich vor einem Hackerangriff?
- Einhaltung interner Sicherheits-/Compliance Vorgaben für Arbeitnehmer verpflichtend
Was für den Laien auf den ersten Blick wie ein Argument pro Zahlung aussehen könnte, ist juristisch gleichwohl von erheblicher Brisanz (die bisher noch weitgehend ignoriert wird) – das durch die Verschlüsselung handlungsunfähige Unternehmen, das seiner wirtschaftlichen Werte beraubt ist, kann in diesem Moment de facto in Überschuldung geraten sein, etwa wenn die laufende Produktion komplett lahmgelegt ist und für den Fortbestand notwendige Umsätze wegbrechen. Das Ergebnis wäre eine persönliche Haftung der nach § 15b Abs.1 InsO (vormals §64 GmbhG) für Zahlungen nach diesem Moment – worunter auch das Lösegeld fallen kann.
Nach einem ersten flüchtigen Blick kann es also durchaus eine unternehmerische Entscheidung sein zu zahlen, gerade die könnte aber eine Haftung eröffnen, die bis zur persönlichen Haftung führt. Und wer nicht zahlt und dem Unternehmen zusieht, wie es ruiniert wird? Der muss nicht nur diskutieren, ob das die richtige Entscheidung war (was mit Blick auf Empfehlung der Behörden und obige Zahlen vertretbar wäre), sondern muss diskutieren, ob er versäumt hat, im Rahmen seiner Pflichten die präventiv-notwendigen Maßnahmen zu treffen. Und während der Angriff als solcher beim aktiven, vorsätzlichen Handeln eines kriminellen Dritten keine Haftung auslösen dürfte, ist die Diskussion hinsichtlich der vorher unterlassenen Maßnahmen voll eröffnet. Insbesondere, wenn keine funktionierende Backup-Politik existiert hat im Moment des Angriffs.
Hinweis: Die Frage, ob man sich mit einer Lösegeldzahlung selber strafbar macht, behandle ich an anderer Stelle, der Beitrag wird gerade überarbeitet und erscheint in Kürze im Mai 2022.
- FBI legt Kryptobetrüger mit gefälschtem Token herein: „Operation Token Mirrors“ - 15. Oktober 2024
- Agent Provocateur - 15. Oktober 2024
- Kündigungsbutton: Anforderungen an die Gestaltung des Kündigungsprozesses bei online abgeschlossenen Verträgen - 13. Oktober 2024