Cyber Incident: Vom Dialog mit Hackern zur partizipativen Stakeholder-Strategie

Cyberkriminelle agieren entlang vermeintlich «etablierter Marktprinzipien»: Hacker stehlen oder verschlüsseln Unternehmensdaten und lassen diese gegen Kryptowährung zurückhandeln. Aus Sicht der Angreifer ein klassisches, durchaus verhandelbares Geschäftsmodell. Der Grundsatz, den Dialog mit Kriminellen zu meiden, hat in der Praxis an Gültigkeit eingebüsst. Ein Paradigmenwechsel ist im Gange.

Das Computer Security Incident Response Team (CSIRT) von InfoGuard geht aktiv in den Dialog mit dem Ziel, den Angreifer einzuschätzen, wertvolle Zeit und Informationen zum Ausmass des Cyberangriffs zu gewinnen. Und letztendlich geht es auch darum, strategische Vorteile zu sichern:

• Zeitvorteil: Spielraum für fundierte Entscheidungen gewinnen.
• Datenklarheit: Angreifer offenbaren oft Details zu entwendeten Informationen.
• Regiehoheit: Wer kommuniziert, behält die Kontrolle.

Verhandeln mit Cyberkriminellen: Ein Balanceakt

Primäres Ziel des CSIRT: Systeme wieder in Betrieb nehmen und Schaden minimieren. Wenn eine Wiederherstellung durch Backups nicht möglich ist, bleibt als nächste Option die Verhandlung. Für die Kommunikation mit Cyberkriminellen kommen eigens eingerichtete Chat-Plattformen zum Einsatz. Dabei orientiert sich der Dialog an professionellen, respektvollen und taktischen Prinzipien.

Erfolgreiche Taktiken können die geforderte Lösegeldsumme drastisch senken.

Verhandlungstaktiken im Schatten der Ransomware-Industrie

• Technische Fragen: Gezielte, technische Rückfragen ermöglichen dem CSIRT, wertvolle Zeit zu gewinnen. Denn um diese fundiert zu beantworten, muss der Verhandlungspartner häufig Rücksprache mit der operativen Täterschaft nehmen – jener Gruppe also, die den Angriff tatsächlich durchgeführt hat.
• Redewendungen als Schlüssel zur Herkunft: Zwar wird in Verhandlungen meist Englisch gesprochen, doch sprachspezifische Redewendungen, wie russische Sprichwörter, können als Indikator zur Herkunft dienen. Erfasst der Verhandlungspartner diese nicht, deutet das auf eine anderweitige Herkunft hin.
• Profiling durch Details: Die Art und Weise, wie jemand seine Dateien benennt, kann einiges über seine Herkunft und Arbeitsweise preisgeben. Ein minimalistischer Ansatz wie «1.txt» oder ein kryptischer Name wie «sdkfnv.txt» lässt Rückschlüsse auf die Person zu.
• Bürokratie als Taktik: Aufgrund der Tatsache, dass das Computer-Security-Incident-Response-Team (CSIRT) nicht der Entscheidungsträger ist, kann es vorgeben, erst die Zustimmung der Geschäftsleitung einholen zu müssen. So lässt sich das Gespräch in die Länge ziehen.

Abbildung 1: Bürokratie als taktischer Vorteil, denn wer klug bremst, kommt schneller ans Ziel. 

Ransomware-Gruppen: Organisation und Realität hinter den Angriffen

Diese Gruppen operieren mit der Professionalität eines Unternehmens: mit klaren Führungsstrukturen, spezialisierten Teams und eigener Personalabteilung. Aus geleakten Chats russischer Ransomware-Gruppen wissen wir, dass das Arbeitsumfeld eher unattraktiv ist: unzählige Überstunden, hohe Fluktuation und ein bescheidener Lohn von etwa 2'000 Franken pro Monat sind keine Ausnahme. Die echten Gewinne landen vermutlich bei den obersten Führungskräften oder in den Händen des organisierten Verbrechens.

Welche Regeln gelten in der Welt der Ransomware-Gruppen?

Trotz ihres oft anarchischen Erscheinungsbilds verfügen viele der grösseren Gruppierungen über interne Vorschriften, an die sich ihre Mitglieder halten – auch wenn es durchaus Akteure und sogenannte «Affiliates» gibt, die diese Regeln ignorieren. Affiliates sind Hacker, welche die von Ransomware-Gruppen bereitgestellte Infrastruktur für eigene Cyberattacken nutzen. Ein häufiges Gebot: Ziele wie Krankenhäuser, Schulen oder kritische Infrastrukturen sind tabu.

Abbildung 2: Kritische und öffentliche Organisationen erhalten in der Regel entwendete Daten zurück.

Sollte es dennoch zu einem unbeabsichtigten Angriff auf solche Einrichtungen kommen, werden die Daten kostenlos herausgegeben.

Abbildung 3: Eine professionelle Vorgehensweise und sachliche Tonalität können sich positiv auswirken.

Ob diese Regeln aus ethischen Überlegungen heraus befolgt werden oder dem Bestreben dienen, möglichst wenig Aufmerksamkeit von Strafverfolgungsbehörden zu erregen, lässt sich nicht eindeutig sagen. Vermutlich wirken beide Motive zusammen.

Auch beim Lösegeld gibt es feste Vorgaben: Eine unter Cyberkriminellen etablierte Ransomware-Gruppe legt ihren Partnern konkrete Forderungsrichtlinien auf: etwa einen Mindestbetrag von drei Prozent des Unternehmensumsatzes sowie eine Obergrenze für Rabatte von 50 Prozent.

Doppelte Erpressung im Darknet: Wie Medien den Druck auf Unternehmen erhöhen

Im Darknet finden sich regelmässig gestohlene Unternehmensdaten. Bereits die Androhung einer Veröffentlichung kann enormen Druck auf betroffene Unternehmen ausüben. Wer sich schon mal mit dem Darknet auseinandergesetzt hat, weiss: Auch Medienschaffende beobachten einschlägige Darknet-Plattformen, etwa auf der Recherche zu geleakten Daten. Deren mediale Berichterstattung kann den Druck auf kompromittierte Unternehmen zusätzlich verstärken. Die Situation eskaliert, wenn diese den Sicherheitsvorfall noch nicht öffentlich gemacht haben. Ein perfekter Nährboden für weitere Eskalation: Die Angreifenden verschärfen ihre Drohkulisse und erhöhen den Verhandlungsdruck. Im Zuge der doppelten Erpressung droht nicht nur die öffentliche Preisgabe vertraulicher Daten, sondern auch die strafrechtliche Relevanz der Kompromittierung gewinnt an Gewicht.

Vom Schock zur erfolgreichen Krisenkommunikation

Krisenkommunikatoren wissen: Klare, sachliche Kommunikation steuert das Narrativ und minimiert den Reputationsschaden.

Abbildung 4: Erfolgreiches Verhandeln kann die Lösegeldforderung drastisch senken.

Nach einem Cybervorfall verfallen betroffene Unternehmen, aller Krisenprävention zum Trotz, dennoch häufig in einen Schockzustand. In den vergangenen Jahren sei jedoch eine Veränderung in den Reaktionen bemerkbar gewesen, berichtet ein Verhandlungsführer des CSIRT. Wo früher abgrundtiefe Bestürzung herrschte, ist heute zunehmend Sarkasmus zu spüren.

Ein oft gehörtes Mantra gebreachter Unternehmen: «Wir sind ja in bester Gesellschaft!». Ein derart entspannter Ansatz kann die Verhandlungen durchaus positiv beeinflussen. Doch essenziell für eine erfolgreiche Bewältigung in der Krise ist und bleibt eine 360°-orientierte Krisenkommunikation. Sie koordiniert den Dialog mit allen relevanten Anspruchsgruppen: dem Krisenstab, den Mitarbeitenden, den Kunden, den Partnern, den Medien und den Behörden – und ja, eben auch mit den Angreifern.

Neue Ransomware-Taktik: Management zunehmend im Visier

Ein deutlicher Trend ist erkennbar: Ransomware-Angreifende nehmen zunehmend nicht nur das Unternehmen als Organisation ins Visier, sondern auch exponierte Personen im Unternehmen. Durch gezielte persönliche Einschüchterung versuchen sie, direkten Einfluss auf Entscheidungsprozesse zu nehmen. Mit dem Ziel, Lösegeldzahlungen zu beschleunigen. Um den Druck zu verstärken, greifen sie zu Mitteln wie der Veröffentlichung privater Informationen, etwa Passfotos von Geschäftsleitungsmitgliedern, oder kontaktieren Führungskräfte direkt über deren private Telefonnummern.

Aus Sicht der Incident Response ist es ratsam, dass sich das Management nicht selbst in die Kommunikation mit den Täterschaften einbringt. Eine professionelle Verhandlungsführung minimiert Risiken – nicht zuletzt, weil bereits kleine taktische Unachtsamkeiten die Wiederherstellung des Geschäftsbetriebs (Return to Normal) erheblich erschweren können.

Key takeaway: Sachlichkeit statt Emotion

In der Kommunikation mit Cyberkriminellen zählt vor allem eines: Klarheit. Ein sachlicher, professioneller Dialog und eine durchdachte Taktik sind entscheidend, um die Kontrolle zu behalten und die Krise zu bewältigen. Emotionale Reaktionen oder voreilige Zusagen sind fehl am Platz. Ein erfahrener Incident-Response-Partner hilft, die richtigen Entscheidungen zu treffen, das Narrativ zu steuern und den Reputationsschaden zu minimieren. Wer die Kommunikation professionell managt, kann selbst in der Krise souverän auftreten.

Souverän in der Cyberkrise durch professionelle Incident Response

Vermeiden Sie Panik im Falle eines Cyberangriffs und bereiten Sie Ihre Kommunikationsstrategie auf einen möglichen Sicherheitsvorfall vor. Wir unterstützen Sie dabei.

In einem massgeschneiderten Workshop entwickeln wir gemeinsam mit Ihnen einen detaillierten Notfallplan, der alle wichtigen Schritte von der sofortigen Krisenbewältigung über das Krisenmanagement bis hin zur Wiederherstellung Ihrer IT-Infrastruktur umfasst.

Mit Hilfe erprobter Templates und basierend auf langjähriger Erfahrung aus hunderten von Cybervorfällen stellen wir sicher, dass Ihr Unternehmen im Ernstfall handlungsfähig bleibt und seine Sicherheitsstrategie kontinuierlich optimiert. Unser Incident-Response-Team im ISO 27001-zertifizierten Cyber-Defence-Center (CDC) ist für Sie da – schnell, diskret und mit der nötigen Erfahrung. Melden Sie sich noch heute.

Bildlegende: mit KI generiertes Bild