Cyberkriminelle agieren entlang vermeintlich «etablierter Marktprinzipien»: Hacker stehlen oder verschlüsseln Unternehmensdaten und lassen diese gegen Kryptowährung zurückhandeln. Aus Sicht der Angreifer ein klassisches, durchaus verhandelbares Geschäftsmodell. Der Grundsatz, den Dialog mit Kriminellen zu meiden, hat in der Praxis an Gültigkeit eingebüsst. Ein Paradigmenwechsel ist im Gange.
Das Computer Security Incident Response Team (CSIRT) von InfoGuard geht aktiv in den Dialog mit dem Ziel, den Angreifer einzuschätzen, wertvolle Zeit und Informationen zum Ausmass des Cyberangriffs zu gewinnen. Und letztendlich geht es auch darum, strategische Vorteile zu sichern:
Primäres Ziel des CSIRT: Systeme wieder in Betrieb nehmen und Schaden minimieren. Wenn eine Wiederherstellung durch Backups nicht möglich ist, bleibt als nächste Option die Verhandlung. Für die Kommunikation mit Cyberkriminellen kommen eigens eingerichtete Chat-Plattformen zum Einsatz. Dabei orientiert sich der Dialog an professionellen, respektvollen und taktischen Prinzipien.
Erfolgreiche Taktiken können die geforderte Lösegeldsumme drastisch senken.
Diese Gruppen operieren mit der Professionalität eines Unternehmens: mit klaren Führungsstrukturen, spezialisierten Teams und eigener Personalabteilung. Aus geleakten Chats russischer Ransomware-Gruppen wissen wir, dass das Arbeitsumfeld eher unattraktiv ist: unzählige Überstunden, hohe Fluktuation und ein bescheidener Lohn von etwa 2'000 Franken pro Monat sind keine Ausnahme. Die echten Gewinne landen vermutlich bei den obersten Führungskräften oder in den Händen des organisierten Verbrechens.
Trotz ihres oft anarchischen Erscheinungsbilds verfügen viele der grösseren Gruppierungen über interne Vorschriften, an die sich ihre Mitglieder halten – auch wenn es durchaus Akteure und sogenannte «Affiliates» gibt, die diese Regeln ignorieren. Affiliates sind Hacker, welche die von Ransomware-Gruppen bereitgestellte Infrastruktur für eigene Cyberattacken nutzen. Ein häufiges Gebot: Ziele wie Krankenhäuser, Schulen oder kritische Infrastrukturen sind tabu.
Sollte es dennoch zu einem unbeabsichtigten Angriff auf solche Einrichtungen kommen, werden die Daten kostenlos herausgegeben.
Ob diese Regeln aus ethischen Überlegungen heraus befolgt werden oder dem Bestreben dienen, möglichst wenig Aufmerksamkeit von Strafverfolgungsbehörden zu erregen, lässt sich nicht eindeutig sagen. Vermutlich wirken beide Motive zusammen.
Auch beim Lösegeld gibt es feste Vorgaben: Eine unter Cyberkriminellen etablierte Ransomware-Gruppe legt ihren Partnern konkrete Forderungsrichtlinien auf: etwa einen Mindestbetrag von drei Prozent des Unternehmensumsatzes sowie eine Obergrenze für Rabatte von 50 Prozent.
Im Darknet finden sich regelmässig gestohlene Unternehmensdaten. Bereits die Androhung einer Veröffentlichung kann enormen Druck auf betroffene Unternehmen ausüben. Wer sich schon mal mit dem Darknet auseinandergesetzt hat, weiss: Auch Medienschaffende beobachten einschlägige Darknet-Plattformen, etwa auf der Recherche zu geleakten Daten. Deren mediale Berichterstattung kann den Druck auf kompromittierte Unternehmen zusätzlich verstärken. Die Situation eskaliert, wenn diese den Sicherheitsvorfall noch nicht öffentlich gemacht haben. Ein perfekter Nährboden für weitere Eskalation: Die Angreifenden verschärfen ihre Drohkulisse und erhöhen den Verhandlungsdruck. Im Zuge der doppelten Erpressung droht nicht nur die öffentliche Preisgabe vertraulicher Daten, sondern auch die strafrechtliche Relevanz der Kompromittierung gewinnt an Gewicht.
Krisenkommunikatoren wissen: Klare, sachliche Kommunikation steuert das Narrativ und minimiert den Reputationsschaden.
Abbildung 4: Erfolgreiches Verhandeln kann die Lösegeldforderung drastisch senken.
Nach einem Cybervorfall verfallen betroffene Unternehmen, aller Krisenprävention zum Trotz, dennoch häufig in einen Schockzustand. In den vergangenen Jahren sei jedoch eine Veränderung in den Reaktionen bemerkbar gewesen, berichtet ein Verhandlungsführer des CSIRT. Wo früher abgrundtiefe Bestürzung herrschte, ist heute zunehmend Sarkasmus zu spüren.
Ein oft gehörtes Mantra gebreachter Unternehmen: «Wir sind ja in bester Gesellschaft!». Ein derart entspannter Ansatz kann die Verhandlungen durchaus positiv beeinflussen. Doch essenziell für eine erfolgreiche Bewältigung in der Krise ist und bleibt eine 360°-orientierte Krisenkommunikation. Sie koordiniert den Dialog mit allen relevanten Anspruchsgruppen: dem Krisenstab, den Mitarbeitenden, den Kunden, den Partnern, den Medien und den Behörden – und ja, eben auch mit den Angreifern.
Ein deutlicher Trend ist erkennbar: Ransomware-Angreifende nehmen zunehmend nicht nur das Unternehmen als Organisation ins Visier, sondern auch exponierte Personen im Unternehmen. Durch gezielte persönliche Einschüchterung versuchen sie, direkten Einfluss auf Entscheidungsprozesse zu nehmen. Mit dem Ziel, Lösegeldzahlungen zu beschleunigen. Um den Druck zu verstärken, greifen sie zu Mitteln wie der Veröffentlichung privater Informationen, etwa Passfotos von Geschäftsleitungsmitgliedern, oder kontaktieren Führungskräfte direkt über deren private Telefonnummern.
Aus Sicht der Incident Response ist es ratsam, dass sich das Management nicht selbst in die Kommunikation mit den Täterschaften einbringt. Eine professionelle Verhandlungsführung minimiert Risiken – nicht zuletzt, weil bereits kleine taktische Unachtsamkeiten die Wiederherstellung des Geschäftsbetriebs (Return to Normal) erheblich erschweren können.
In der Kommunikation mit Cyberkriminellen zählt vor allem eines: Klarheit. Ein sachlicher, professioneller Dialog und eine durchdachte Taktik sind entscheidend, um die Kontrolle zu behalten und die Krise zu bewältigen. Emotionale Reaktionen oder voreilige Zusagen sind fehl am Platz. Ein erfahrener Incident-Response-Partner hilft, die richtigen Entscheidungen zu treffen, das Narrativ zu steuern und den Reputationsschaden zu minimieren. Wer die Kommunikation professionell managt, kann selbst in der Krise souverän auftreten.
Vermeiden Sie Panik im Falle eines Cyberangriffs und bereiten Sie Ihre Kommunikationsstrategie auf einen möglichen Sicherheitsvorfall vor. Wir unterstützen Sie dabei.
In einem massgeschneiderten Workshop entwickeln wir gemeinsam mit Ihnen einen detaillierten Notfallplan, der alle wichtigen Schritte von der sofortigen Krisenbewältigung über das Krisenmanagement bis hin zur Wiederherstellung Ihrer IT-Infrastruktur umfasst.
Mit Hilfe erprobter Templates und basierend auf langjähriger Erfahrung aus hunderten von Cybervorfällen stellen wir sicher, dass Ihr Unternehmen im Ernstfall handlungsfähig bleibt und seine Sicherheitsstrategie kontinuierlich optimiert. Unser Incident-Response-Team im ISO 27001-zertifizierten Cyber-Defence-Center (CDC) ist für Sie da – schnell, diskret und mit der nötigen Erfahrung. Melden Sie sich noch heute.
Bildlegende: mit KI generiertes Bild