Wenn die Produktion plötzlich stillsteht: Immer häufiger werden Betriebe Ziel von Cyberattacken, bei denen Kriminelle Daten verschlüsseln und große Mengen an Lösegeld fordern. Diese Woche traf es auch die Kärntner Landesverwaltung. Wie soll man mit derlei Angriffen umgehen? Eine Anleitung in sechs Schritten.

1. Alarm, Angriff und die Sperre

"Ransomware" – also Schadsoftware, die Daten verschlüsselt oder Zugriff auf Geräte sperrt – ist am Vormarsch. Während der Coronakrise sei die Angriffsform gar zur "digitalen Pandemie" gewachsen. Zu diesem Befund kommt der "Allianz Cyber Report", am eigenen Leib mussten es in den letzten Monaten auch viele heimische Wirtschaftstreibende in unterschiedlichster Größe erfahren.

Was im Fall der Fälle ehestmöglich zu tun ist? "In der ersten Stunde gilt es, sämtliche noch laufende Systeme nach außen hin abzuschotten", heißt es dazu von Certitude, einem Wiener Beratungsunternehmen, das sich auf das Management von IT-Risiken spezialisiert hat.

2. Vielseitige Bestandsaufnahme

Im "Cyber Response Team" von Certitude arbeiten IT-Techniker, Juristen oder Kommunikationsspezialisten. Was schnell unterstreicht, dass in der Abwehr moderner Cyberangriffe Interdisziplinarität gefragt ist. Um Geschwindigkeit geht es auch nach dem erfolgten Angriff. Abzuklären ist flugs: Gibt es bestehende Back-ups, Datensicherungen, im Haus und kann man Rückschlüsse auf die Täter ziehen? So kann eingeschätzt werden, ob es ein Hackerkollektiv ist, das auf schnelles Geld aus ist oder als betont hartnäckig gilt. Danach richtet sich die Abwehrstrategie. Oder wie es bei Certitude heißt: "Wir haben mehrere Playbooks", also Handlungsanleitungen.

3. Interne Nachricht, externe Meldung

Auch im frühen Stadium des Angriffs gilt es abzuklären, welche internen Wege (etwa zum Aufsichtsrat, zu den Mitarbeitern) wann zu gehen sind. Welche Schritte nach außen hin relevant sein können? Information an die Polizei, kapitalmarktbezogene Meldungen bedenken (liegt etwa bei Unternehmen eine Pflicht zur Ad-hoc-Publizität vor), Kundenverständigungen (auch um Haftungsrisiken zu minimieren) oder die Meldung an eine bestehende Versicherung. Liegen Datenschutzverletzungen vor, muss prinzipiell zudem binnen 72 Stunden eine Nachricht an die heimische Datenschutzbehörde erfolgen. Erfolgt die Meldung später, ist die Verzögerung explizit zu begründen.

Das interdisziplinäre "Cyber Response Team" von Certitude Consulting: Aleksandar Lacarak, Markus Endres, Marc Nimmerrichter, Katharina Völkl-Posch, Bernhard Grabmayr, Clemens Völkl, Philipp Frenzl, Ulrich Kallausch
Das interdisziplinäre "Cyber Response Team" von Certitude Consulting: Aleksandar Lacarak, Markus Endres, Marc Nimmerrichter, Katharina Völkl-Posch, Bernhard Grabmayr, Clemens Völkl, Philipp Frenzl, Ulrich Kallausch © Ela Angerer

4. Die Chats im Darknet und Bitcoin als Währung

Nach der Analyse des Ausmaßes beginnt der Austausch mit den Erpressern, die häufig eine Bezahlung in Form von Kryptocoins à la Bitcoin fordern. Warum eigentlich Kryptos? Nun, das hat damit zu tun, dass derlei Transaktionen speziell zu Beginn ihrer Existenz als anonym und nicht nachvollziehbar galten. Bitcoin wiederum ist der populärste und zugänglichste Kryptocoin. Dadurch sehen die Betrüger beste Chancen, am Ende des Tages auch wirklich Überweisungen zu sehen. Besonders heikel bleibt der Umtausch der erbeuteten Bitcoins.   

Kommuniziert wird meist via verschlüsselten Chat im sogenannten Darknet. "Das Wichtigste ist, Zeit zu gewinnen", erklären die Certitude-Experten. Verhandelt wird dialogisch für gewöhnlich zwischen zwei Stunden und drei Tagen. Von der Erhebung bis zur Lösung kann es aber auch eine Woche dauern. "Mehrfache Erpressung" bedeutet übrigens eine Strategie, wenn Kriminelle nicht "nur" Systeme verschlüsseln, sondern auch mit der Veröffentlichung sensibler und persönlicher Daten drohen.

5. Bezahlt wird nur im Notfall

Behörden raten davon ab, Lösegeld zu zahlen. Man solle Angreifer nicht noch motivieren. Sieht ein Angegriffener aber keinen Ausweg, fließt Geld. Meist, so heißt es von Certitude mit Verweis auf Branchenerkenntnisse, mache die Bezahlung ein Drittel des Geforderten aus. Ergänzend dazu der "Allianz Cyber Report": "Betriebsunterbrechungs- und Wiederherstellungskosten sind die größten Kostentreiber bei Cyberschäden. Sie machen mehr als 50 Prozent der Kosten aus."

6. Finaler Schritt: Blick zum Beginn

Die Wiederherstellung ist komplex, selbst wenn der Entschlüsselungscode da ist. Ist das gelungen, sollten Cyberopfer dringend daran arbeiten, Schwachstellen auszumerzen. Was gute Prävention ausmacht? "Mitarbeiter schulen, schulen, schulen", heißt es bei Certitude. Empfohlen wird auch, Netzwerke zu teilen ("Segmentierung"). Aus juristischer Sicht ist sinnvoll, Weisungsketten parat zu haben. Wirtschaftlich betrachtet gilt eine Risikoanalyse als Muss.