Praxistips für Ransomware-Verhandlungen

(Quelle: arrow/stock.adobe.com)

Praxistips für Ransomware-Verhandlungen

(Quelle: arrow/stock.adobe.com)
28. November 2021 - In einer Studie wurden die Verhandlungen zwischen Ransomware-Opfern und Erpressern untersucht. Wichtigste Erkenntnis: Sprechen Sie nie über Ihre Cyber-Versicherung!
Cybersecurity-Forscher von der NCC Group haben über 700 Verhandlungen zwischen Ransomware-Kriminellen und deren Opfern analysiert, um daraus Erkenntnisse für eine optimale Verhandlungsstrategie zu gewinnen.

Wie die empirische Analyse der in den Jahren 2019 und 2020 erfolgten Ransomware-Verhandlungen ergab, gibt es durchaus Strategien, welche die eigene Lage zu verbessern helfen. Im umgekehrten Fall kann ein Nichtbefolgen die Position des Opfers deutlich verschlimmern.

Wie die Studienverfasser berichten, muss man sich als Opfer durchaus bewusst sein, dass es sich bei den Angreifern auch nur um Menschen handelt, die ebenfalls Fehler machen und deren Entscheidungen man beeinflussen kann. Entsprechend lassen sich aus der Analyse der Verhandlungen Empfehlungen ableiten, welche die Position des Opfers verbessern können.

So wird geraten, die eigenen Angestellten anzuweisen, in erpresserischen Mails nie auf einen Link zu klicken. Denn wie viele Fälle gezeigt haben, wird durch diesen Klick überhaupt erst ein Countdown ausgelöst und die eigentliche Forderung übermittelt. Wird dieser Moment hinausgezögert, lässt sich damit wichtige Zeit gewinnen.

Weiter soll noch bevor überhaupt verhandelt wird, eine Analyse der Situation durchgeführt werden. Lassen sich Backups überhaupt zurückspielen? Falls nicht, soll man in den Verhandlungen eine Verringerung des Lösegelds anstreben? Wie viel Bares wäre man allenfalls in der Lage, zusammen zu schaffen?
Weiter wird geraten, eine Kommunikationsstrategie zu etablieren. Immerhin informieren viele Erpresser gleich selber die Medien, um den Druck zu erhöhen. Hinzu kommt, dass es die eigenen Kunden schätzen, wenn sie direkt und nicht via Medien informiert werden.

Ebenfalls wichtig: Man sollte sich über die Erpresser informieren, allenfalls auch unter Beizug von Spezialisten. Nicht selten lassen sich daraus Erkenntnisse über die Verlässlichkeit oder ähnlich gelagerte Fälle gewinnen.

Hat man sich einmal zur Lösegeldzahlung entschlossen, wird geraten, die nachfolgenden Strategien zu befolgen, womit sich allenfalls gewaltige Beträge einsparen lassen.

So wurde bei der Analyse eine negative Relation zwischen höflichem Gesprächston und der Höhe des Lösegelds festgestellt. Wer mit den Erpressern respektvoll umgeht, hat damit Chancen, weniger Geld loszuwerden. Auch soll es sich lohnen, um eine Erstreckung der Zeit zu bitten, was wiederum zu tieferen Zahlungen führen soll. In der oben verlinkten Studienzusammenfassung finden sich diverse Beispiele, in denen die Frist teilweise um Wochen erstreckt wurde. Zeit wird unter Umständen auch benötigt, um die geforderte Zahlung in der richtigen Kryptowährung zu organisieren.

Weiter wird empfohlen, den Erpressern anzubieten, vorerst einen kleinen Betrag und erst später die geforderte Summe zu überweisen. Auch soll sich die geforderte Summe allein schon mit Überzeugungsarbeit und den richtigen Argumenten herunterhandeln lassen. Auch hierzu finden sich im Report verschiedene Gesprächsauszüge.

Als letzte und vielleicht auch wichtigste Empfehlung raten die Studienverfasser, bei Abschluss einer Cyberversicherung niemandem davon zu erzählen und auch entsprechende Dokumente gut zu schützen. Denn Erpresser pflegen sich im Normalfall vorab genauestens über ihre Opfer zu informieren. Wissen sie erst einmal über eine vorhandene IT-Versicherung und die versicherte Schadenssumme Bescheid, ist es so gut wie unmöglich, über die Höhe der Lösegeldsumme zu verhandeln. Diese entspricht dann in der Regel der Versicherungssumme. (rd)

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
SPONSOREN & PARTNER