In Unternehmen längst Realität
Ein Horrorszenario, das sich mittlerweile fast täglich abspielt, wenn Unternehmen von sogenannten Ransomware-Gruppen, wie z.B. Lockbit, angegriffen werden. Dabei sind die Opfer längst nicht immer große, bekannte Player. Vielfach handelt es sich um kleine oder mittelständische Unternehmen, auch Planerbüros zählen dazu. Was allerdings alle betroffenen Unternehmen vereint: In 95 Prozent der Fälle ist der der Grund für den Angriff die Schwachstelle Mensch. Genauso wie im analogen Leben, suchen die Täter in der binären Welt nach passenden Einfallmöglichkeiten. Bildlich gesprochen: Welche Tür ist nicht verriegelt, welches Fenster steht noch einen Spalt offen? Erspähen die Angreifer auch nur eine Lücke, schlagen sie zu. Erst danach wird analysiert, wen sie an der Angel haben und wieviel Geld man erpressen kann.
Unterschiedliche Formen der Erpressung
Die Erpressungsgegenstände bei Ransomware-Angriffen variieren. Entweder werden nur Daten und Programme verschlüsselt, die dann nicht mehr genutzt werden können. Außerdem kann es vorkommen, dass Daten abgezogen werden – das Unternehmen ist nicht mehr alleiniger Besitzer. Die Täter drohen zusätzlich damit, die Daten zu veröffentlichen. Das kann gerade bei personenbezogenen Informationen sehr heikel sein. Einige Tätergruppen agieren besonders perfide: Sie scheuen sogar nicht davor zurück, Mitarbeiter des Unternehmens zu kontaktieren und drohen ihnen und auch deren Familienmitgliedern.
Gravierende Folgen für Unternehmen
Stellt sich nach einer Lageanalyse durch die eigene IT oder den IT-Dienstleister, auf den man sich verlassen hat, schließlich heraus, dass auch die Back-ups betroffen sind, wird die Situation schnell ungemütlich. Die Opfer stehen vor einem Dilemma. Denn alle Optionen, die auf dem Tisch liegen, haben Vor- und Nachteile. Der erste Reflex der Unternehmen ist meist, in keinem Fall der Erpressung nachzugeben und zunächst die Polizei einzuschalten – auf alle Fälle der richtige Schritt. Dennoch müssen Unternehmen sich mit den Konsequenzen des Ransomware-Angriffs beschäftigen. Was heißt das für den Fortbestand der Firma? Wie hoch ist der Schaden pro Tag, solange die IT ausfällt? Welcher Umsatz entgeht, weil keine Aufträge bearbeitet oder an Land gezogen werden können? Wie lange dauert es, bis alles wieder läuft – und was kostet das? Alle diese Fragen brauchen schnell Antworten.
Das Ergebnis kann verheerend sein, z. B. wenn klar wird, dass ein Unternehmen binnen weniger Wochen nicht mehr zahlungsfähig ist. Die Kosten für Wiederanlauf und Betriebsunterbrechung sind die Treiber im Bereich der Schadensumme. Eventuell ist der Schaden so groß, dass sogar die Verhandlung mit den Angreifern eine Option darstellt.
Mit einer Cyber-Versicherung auf alles vorbereitet sein
Die Antworten auf die vorgenannten Fragen hatte Markus D. schnell parat. Er hatte vorausschauend bereits vor drei Jahren eine Cyber-Versicherung abgeschlossen und konnte sich noch dunkel daran erinnern, dass auch etwas von Krisenmanagement und Verhandlungsunterstützung in der Police stand. Und eine 24/7-Hotline gab es – soweit er wusste – auch noch.
Relativ schnell hatte Markus D. die Spezialisten aus dem Netzwerk des Versicherers am Telefon. Erfahrene Krisenmanager, IT-Forensiker, Verhandlungsspezialisten, IT-Rechtsbeistand, Kommunikationsprofis, alle wurden direkt nach dem Angriff durch das Notfallcenter alarmiert. Ein erstes Teams-Meeting und der Austausch von Informationen lief sofort an. Genutzt wurde dazu die gmail-Adresse der Ehefrau von Markus D. – in der Not geht vieles.
Unterstützung durch kompetente Experten
Die Forensik machte sich sofort daran, den Schaden einzugrenzen, die Lücken im System zu schließen und eine erste Schadenhöhe zusammen mit dem Inhaber zu eruieren. Bezogen auf den Faktor Zeit und die zu erwartende Schadenhöhe in einem mittleren sechsstelligen Betrag erwogen die Experten schließlich auch die Option, mit den Tätern zu sprechen. Dazu hat die Versicherung Verhandlungsspezialisten zur Verfügung gestellt, die entsprechende Erfahrung im Umgang mit Cyber-Kriminellen mitbringen. Denn der Polizei ist es tatsächlich untersagt, über Lösegeld zu verhandeln.
Nach fünf harten Verhandlungstagen war endlich ein Deal erreicht: Die Täter erhielten einen fünfstelligen Betrag und stellten im Gegenzug den Entschlüsselungscode zur Verfügung. Die IT-Forensik konnte danach sämtliche Systeme und Dateien entschlüsseln. Nach sechs Tagen lief die gesamte IT des Ingenieurbüros wieder. Und die Ausschreibungsunterlagen konnten dank einer Fristverlängerung drei Tage verspätet an den Kunden übermittelt werden. Ende gut, alles gut?
Fazit
Nicht immer gehen Ransomware-Angriffe so glimpflich aus wie geschildert. Chaos im Management und mangelnde Erfahrung im Umgang und der Bewertung einer solchen Situation sind eher die Regel. Deshalb ist es wichtig, sich frühzeitig auf dieses Szenario einzustellen. Wie ist mein Unternehmen aufgestellt? Ist die Versicherungslösung adäquat und wird im Worst Case auch Lösegeld gecovert? Eine Cyber-Versicherung bietet hier wertvolle Unterstützung: Denn anders als bei jeder anderen Versicherungslösung deckt sie nicht nur den finanziellen Schaden ab, sondern stellt durch ein breites Assistance-Netzwerk schnelle und professionelle Hilfe bereit. Sie sorgt dafür, dass Spezialisten in das Krisenmanagement integriert werden, die bei der Lagebeurteilung und der Problemlösung unvoreingenommen und mit kühlem Kopf reagieren. Denn in diesem Fall wollen alle Beteiligten – Versicherer, Unternehmen und Krisenprofis – das Gleiche: die Schäden so gering wie möglich halten. Und gerade in dieser Situation stimmt ein Grundsatz mehr denn je: Zeit ist Geld.
