In einem in der Bilan erschienenen Artikel gewährt Tobias Ellenberger, COO Oneconsult AG, gemeinsam mit Steven Meyer, CEO von Zendata, einen Einblick, wie ein Ransomware-Angriff in der Regel abläuft, wie die Cyberkriminellen sich dabei typischerweise verhalten und welche Strategien er in seiner Rolle als Verhandlungsführer verfolgt.
Mehr darüber erfahren Sie im Artikel von Joan Plancade, den Sie auf der Webseite von Bilan auf Französisch lesen können: Profession: négociateur de cyber-rançons
(Der Artikel ist nur mit einem Abo, das für 14 Tage kostenlos abgeschlossen werden kann, in voller Länge verfügbar.)
Beruf: Verhandlungsführer für Cyber-Erpressung
Ihre Aufgabe: bei Cyber-Erpressungen mit den Hackern verhandeln. Zwei Experten erzählen von ihren Strategien, sowohl aus technischer als auch psychologischer Sicht.
Drohungen, Bluffs, Gesprächsabbruch, Wiederaufnahme der Verhandlungen: im Chat, der die Verbindung zu den Cyberkriminellen aufrechterhält, ist der Austausch psychologisch anstrengend. Die Cyberverhandlungsführer Steven Meyer, CEO von Zendata (Genf), und Tobias Ellenberger, COO von Oneconsult (Zürich), wissen, dass in solchen kritischen Momenten das Überleben ihrer Kunden, die Opfer eines Ransomware-Angriffs geworden sind, auf dem Spiel steht. Ohne Zugriff auf ihre Daten, die sich in den Händen der Angreifer befinden, ist das Geschäft der Kunden lahmgelegt. Ziel ist es, eine Vereinbarung zu treffen und die Schockwelle des Angriffs, wie sie die Gemeinde Rolle im vergangenen August erlebte, einzudämmen. Als die Gemeinde sich weigerte, der Erpressung nachzugeben, überfluteten die Hacker das Darknet mit vielen sensiblen Informationen, darunter auch Steuerdaten, und stürzten die Stadtverwaltung in eine noch nie dagewesene Krise.
Solche Situationen sind keine Einzelfälle, sondern gehören zum Alltag von Steven Meyer und Tobias Ellenberger, die angeben, dass sie «pro Woche 2 oder 3 Anrufe» von verzweifelten Geschäftsführern erhalten. In der Regel beginnt es mit dem ersten Mitarbeiter, der versucht, sich einzuloggen. Anstelle der üblichen Benutzeroberfläche erscheint eine oftmals recht professionelle Startseite, die darauf hinweist, dass die Daten verschlüsselt sind, und das Verfahren zur Zahlung eines Lösegelds und zur Wiederherstellung des Zugangs vorschlägt. Die Geschäftsleitung wird benachrichtigt und beschliesst, entweder direkt die Polizei oder einen Cybersicherheitsdienstleister anzurufen.
«Alle Arten von Unternehmen wenden sich an uns, vor allem aber Kleinstunternehmen, kleine und mittlere Unternehmen (KKMUs), die nicht unbedingt eine spezialisierte Abteilung im Unternehmen haben», bemerkt Steven Meyer. Tobias Ellenberger erklärt, dass «Angreifer Unternehmen nach Sicherheitslücken scannen, z. B. nach einem nicht installierten Patch für ein VPN oder eine Firewall» und dann auf Grundlage von öffentlichen Finanzdaten oder Informationen, die sie während des Angriffs finden, den geforderten Betrag in Kryptowährungen berechnen. Dies kann von ein paar tausend Franken bis zu fast 10 Millionen für Unternehmen mit mehr als 1000 Mitarbeitern reichen. Angesichts des Reputationsrisikos und des menschlichen Risikos (Konkurs, Entlassungen) beschliessen Unternehmen oft, über die Zahlung des Lösegelds zu verhandeln. «Zwischen 30 und 60% der Fälle», so Steven Meyer.
Es beginnt ein Wettlauf gegen die Zeit zwischen den Hackern, die auf eine schnelle Bezahlung drängen, und den Cybersicherheitsspezialisten, die Zeit gewinnen wollen. In vielen Fällen wurden die Backups gelöscht, aber die Infrastruktur, in der sich die Hacker noch immer befinden, muss gesichert werden. «Man muss versuchen, das Problem zu lösen, die Kosten der verschiedenen Szenarien zu berechnen, z.B. ob und, falls ja, wie viel man zahlen muss, und herausfinden, mit wem man es zu tun hat», erläutert Tobias Ellenberger.
Ein Countdown startet mit Datum und Uhrzeit der Deadline
Obwohl es weiterhin schwierig ist, die geografische Herkunft von Angreifern zu bestimmen, die sich hinter VPNs verstecken, scheinen einige Hinweise klar zu sein. «Kürzlich erhielt ich einen Chat-Termin, um das Lösegeld am nächsten Tag um 10 Uhr Moskauer Zeit zu besprechen», betont Steven Meyer. Der Experte stellt auch fest, dass seine Gesprächspartner über wenig technisches Wissen verfügen, was darauf schliessen lässt, dass es sich um professionelle Verhandlungsführer handelt. Tobias Ellenberger stimmt zu: «Es geht um organisierte, strukturierte Kriminalität, mit über die ganze Welt verteilten «Büros».» Sehr professionelle Hackerfirmen bieten einen Support-Service an, der schnelle und präzise Hilfe bei der Beschaffung der Kryptowährung bietet, die für die Zahlung des Lösegelds benötigt wird. «Fleissiger als ein Telekommunikationsdienst», lacht Tobias Ellenberger, während Steven Meyer den Übereifer der Hacker hervorhebt: «Ein Countdown mit Datum und Uhrzeit der Deadline wird gestartet. Die Hacker bieten hohe Rabatte, wenn man sofort bezahlt, oft auch 25%, wenn man Monero, eine nicht rückverfolgbare Kryptowährung, anstelle von Bitcoin wählt.»
Zeit- und Geldersparnis sind für die Verhandlungsführer angesichts der sehr gut organisierten Unternehmen ein heikles Unterfangen. Eines der am häufigsten vorgebrachten Argumente ist die Tatsache, dass «man sich bei mehr als 100’000 Franken an den Verwaltungsrat wenden muss, was eine Woche dauern kann». Oder dass kein Wissen über Kryptowährungen vorhanden ist oder es Beschränkungen von der Bank auf Kryptobörsen gibt. Einige Verhandlungsführer entwickeln einen rationalisierten psychologischen Ansatz, bei dem sie sich in die Rolle einer Führungspersönlichkeit mit für die Verhandlung günstigen Eigenschaften und in eine (gewollt heikle) Geschäftssituation versetzen. Im Einvernehmen mit dem Kunden werden Ziel- und Höchstbeträge festgelegt, die er zu zahlen bereit ist. «Die Idee ist, in der Diskussion konsequent zu sein und eine gewisse Atmosphäre mit dem Hacker zu schaffen, während man sich auf die Ziele konzentriert», hebt Tobias Ellenberger hervor.
Welche Ergebnisse sind zu erwarten? «In 90% der Fälle kann das Lösegeld reduziert werden», schätzt Tobias Ellenberger, während Steven Meyer die Höhe des erzielten Rabatts auf «durchschnittlich 50%, aber sehr unterschiedlich» beziffert. Es besteht weiterhin die Gefahr, dass der Angreifer zurückkommt. Wenn sehr professionelle Kriminelle die Entschlüsselung einer Datei als Beweis dafür anbieten, dass sie den Schlüssel haben, gibt es laut Tobias Ellenberger trotzdem keine Gewissheit: «Es kommt vor, dass nach der Zahlung von 100’000 Franken nur die Hälfte der Daten entschlüsselt wird und für die andere Hälfte eine zweite Zahlung verlangt wird. Manchmal können die Hacker auch zurückkommen. Deshalb ist es auch so wichtig, so viel Zeit wie möglich zu gewinnen, um zu erkennen, mit wem man es zu tun hat, und dessen Professionalität zu beurteilen, bevor man zahlt.»
Cyber-Erpressung «as a Service»
Als Beweis für die zunehmende Professionalisierung der Cyberkriminalität bietet «Ransomware as a Service» Laien die Möglichkeit, sich gegen eine monatliche Abonnementgebühr ab $40 an Cyber-Erpressungen zu beteiligen. Community, Chat, Support-Service, Revil- oder Lockbit-Angriffe florieren. Letzterer hat Accenture im August beschäftigt, obwohl es sich um eines der weltweit führenden IT-Unternehmen handelt.
