Forrester: Man sollte Ransomware-Erpresser manchmal bezahlen

Ransomware-Attacken sind ein riesiges Business und gelten laut dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als Cyber-Gefahr Nummer eins. Ende letztes Jahr wurden Datensätze der Stadt Uster von Kriminellen verschlüsselt. Im Februar wurde der Schweizer Cloud-Provider Meta10 Opfer eines Angriffs. Und erst am 20. Juni wurde der Gewerbeverband St. Gallen von Ransomware befallen.
 
Die Schweizer Opfer haben das Lösegeld für ihre Daten nach eigenen Angaben nicht bezahlt. Anders entschied sich der Stadtrat der US-Stadt Riviera Beach. Vor etwas über einer Woche gab einer Forderung über 600'000 Dollar nach, nachdem behördliche Unterlagen und das Mailsystem verschlüsselt worden waren.
 
Eine Studie von IBM aus dem Jahr 2016 ging davon aus, dass rund 70 Prozent der betroffenen Unternehmen bezahlen. Doch macht es Sinn, den Forderungen der Erpresser nachzugeben? Aus Security- und Behördenkreisen heisst es offiziell fast unisono: Gehen Sie nicht auf die Erpressung ein! Hinter vorgehaltener Hand tönt es allerdings mancherorts anders.
 
Die Gründe für die Warnung sind klar: Die Herausgabe eines Schlüssels ist auch bei Bezahlung nicht garantiert. Zudem könnten die Daten von denselben Kriminellen erneut verschlüsselt werden. Wer zahlt, ermutigt die Kriminellen sowie Nachahmer zu weiteren Straftaten. Und man macht klar: Unser Unternehmen ist erpressbar. Schliesslich findet man für einige bekannte Ransomware-Typen mittlerweile Tools für die Entschlüsselung, allerdings bei weitem nicht für alle.
 
Josh Zelonis bringt nun offiziell eine andere Sicht ins Spiel. Der Senior Analyst und Security-Experte beim Marktforscher Forrester hält die Entscheidung der US-Stadt Baltimore, sich der Forderung von Ransomware-Erpresser nicht zu beugen, für falsch und kurzsichtig. Die 600'000 Einwohner zählende Stadt war Anfang Mai erfolgreich mit Ransomware attackiert worden. Den finanziellen Schaden schätzte Zelonis Anfang Juni auf etwa 18,2 Millionen Dollar. Die Forderung der Erpresser klingt dagegen geradezu preiswert: 76'000 Dollar in Bitcoin.
 
Der Forrester-Mann sagt, man solle die Reaktion auf die Forderung wie eine Geschäfts-Entscheidung behandeln. Parallel zur Wiederherstellung der Systeme soll man die Verhandlung mit den Kriminellen als Lösungspfad betrachten.
 
Er hebt dafür mehrere Gründe hervor: Konventionelle Weisheiten ("Verhandle nie mit Erpressern!") würden nicht berücksichtigen, was situativ das Beste für das Unternehmen sei. "Plattitüden und Emotionen werden Ihnen nicht helfen, eine optimale Lösung für Ihr Unternehmen zu finden", so Zelonis. Viele Unternehmen würden zudem das Ausmass der Störungen unterschätzen. Die durch Ransomware verursachten Störungen dauerten Anfang 2019 im Schnitt 7,3 Tage, wie das Cyber-Security-Firma Coveware kürzlich festhielt. Die Wiederherstellung sei schliesslich oftmals kompliziert und zwar auch wenn Backups den Angriff überlebt hätten, hält Forrester-Mann Zelonis fest.
 
Er will nun seinen Beitrag nicht als Empfehlung zum Bezahlen von Lösegeld verstanden wissen. Aber man müsse es als eine Option anerkennen, die man parallel zu anderen Bemühungen zur Wiederherstellung der Daten in Betracht ziehen solle.
 
Aber natürlich gilt Prävention auch bei Forrester als Königsweg: In Cyber-Security investieren, gute Backups erstellen und auf ein Team für Incident Response setzen. Zugleich solle man sich aber an einen Spezialisten für Ransomware halten und planen, wie man Kryptowährungen erwerben und damit bezahlen könne – schliesslich werden die Lösegeldforderungen in Bitcoin und Co. erhoben. (ts)