Fast wöchentlich gibt es Berichte über Firmen und Institutionen, die Opfer einer Ransonware-Attacke geworden sind. So sind an Weihnachten mehrere Kliniken in Nordrhein-Westfalen Opfer des Verschlüsselungstrojaners Lockbit 3.0 geworden. Doch wie sollten die Betroffenen in solchen Fällen reagieren? Auf dem Chaos Communication Congress 37C3 berichtete Linus Neumann zusammen mit dem Journalisten Kai Biermann aus seiner Praxis als Berater von Fällen, in denen er mit den Hackern verhandelt hat. Daraus hat er eine ganze Liste von Empfehlungen entwickelt.

Der wichtigste Tipp lautet dabei jedoch: Das eigene System so abzusichern, dass man im Falle eines erfolgreichen Hackerangriffs in der Lage ist, möglichst schnell seinen Geschäftsbetrieb wiederherstellen zu können. Den bekannten Spruch "Kein Backup, kein Mitleid" sollte man sich aber verkneifen, wenn man von einem Kunden zu Hilfe gerufen werde, sagte Neumann. Seine Best-Practices-Tipps für sichere Backups sind am Ende des Artikels zu finden.

Ein bisschen doof stellen am Anfang

Laut Neumann, der auch Sprecher des Chaos Computer Clubs (CCC) ist, haben sich die Ransomware-Angriffe seit dem Auftauchen der ersten Trojaner wie Locky im Jahr 2016 weiterentwickelt und professionalisiert. So sind inzwischen eher Unternehmen das Ziel der Attacken. Dabei werde versucht, das komplette Active Directory zu übernehmen und auch Backups zu verschlüsseln. "Die meisten Leute hängen ja dummerweise ihren Backup-Server ins Active Directory, was die schlechteste Idee ist, die man haben kann", sagte der CCC-Sprecher. Zudem werde inzwischen versucht, die Firmen auch mit der Veröffentlichung von Daten zu erpressen, was als Double Extortion bezeichnet wird.

Doch wie soll man sich als Unternehmen verhalten, wenn man tatsächlich erfolgreich angegriffen wurde und keinen Zugriff mehr auf seine Daten hat? In einem ersten Schritt empfiehlt Neumann, sich zunächst mal gegenüber den Angreifern ein bisschen doof zu stellen und beispielsweise zu fragen, was ein BTC ist. Dann sollte man um einen Beweis für den Hack bitten, beispielsweise eine Liste aller kopierten Dateien.

Kostenlose Liste aller Daten anfordern

Eine solche Liste werde in der Regel kostenlos von den Hackern herausgerückt. Anhand dieser Liste könne das Opfer zum einen besser den Schaden einschätzen, der bei einer Veröffentlichung drohe. Zum anderen sei diese auch für eine mögliche DSGVO-Meldung relevant. Meistens böten die Hacker noch an, beliebige Dateien aus der Liste komplett zuzusenden, um damit zu beweisen, dass sie über die Daten tatsächlich verfügten.

Selbst wenn man als Unternehmen beschließe, am Ende möglicherweise doch zu zahlen, sollte man nach Darstellung Neumanns zunächst etwas bluffen: "Dann sagt man so was wie, du weißt, wir stellen gerade von Tapes wieder her, das dauert zwar ein bisschen, aber eigentlich sind wir hier guter Dinge." Die Drohung der Hacker, alles zu veröffentlichen, könne man ebenfalls herunterspielen und sagen: "Da ist nichts wirklich Kritisches dabei."

Würde die Konkurrenz die Daten kaufen?

Doch die Hacker drohten häufig auch damit, die erbeuteten Daten direkt an die Konkurrenz weiterzugeben. Wenn man den Firmen dann vorschlage, selbst Daten von der Konkurrenz zu kaufen, würden diese entgegnen: Das würden wir nie machen. "Ja okay, aber eure Konkurrenz haltet ihr für so verkommen, dass die von irgendwelchen Gangstern für Bitcoin eure Daten kaufen?", frage er dann. Daher könne man dem Hacker erwidern: "Kannst du gerne probieren, wir gehen eigentlich nicht davon aus, dass sie dir da sonderlich viel Geld für geben."

Nach Einschätzung Neumanns hat ein solcher Leak jedoch "traurigerweise" meist einen sehr geringen Schaden für die Firma selbst, sondern eher für die betroffene Kunden. Dabei verwies er auf den Hack der Hotelkette Motel One, bei dem die Daten von Gästen veröffentlicht worden waren.

Zudem würden sich die Angreifer mit einem Leak eher selbst schaden.