„Die höchste Lösegeldforderung betrug 15 Millionen Euro“
Cyberangriffe sind heute professionell organisiert und längst zu einem globalen Geschäftsmodell geworden. Im Interview mit Florian Weyand von der WirtschaftsWoche spricht Oliver Schneider, Geschäftsführer von RiskWorkers und Experte für Cyber-Erpressung, über seine Erfahrungen aus realen Ransomware-Fällen. Dabei gibt er Einblicke in die Strukturen hinter den Angriffen, den Ablauf von Verhandlungen und die Herausforderungen, vor denen Unternehmen im Ernstfall stehen.
Cyberkriminalität funktioniert wie ein Franchise-System
Hinter vielen großen Ransomware-Angriffen stehen keine Einzeltäter, sondern professionell organisierte Netzwerke. Oliver Schneider beschreibt das Modell als „Ransomware-as-a-Service“: Eine zentrale Organisation stellt Infrastruktur, Schadsoftware und Plattform bereit. Die eigentlichen Angreifer arbeiten als eine Art Franchisenehmer unter dem Namen der jeweiligen Hackergruppe und sind am Erlös beteiligt. Die Täter selbst sind weltweit verteilt – von Osteuropa über Westafrika bis nach Südamerika.
Der eigentliche Angriff beginnt lange vor der Erpressung
In vielen Fällen verschaffen sich die Täter zunächst über gestohlene Zugangsdaten Zugriff auf das Unternehmensnetzwerk. Dort bewegen sie sich oft über Wochen oder sogar Monate unbemerkt, analysieren die Infrastruktur, suchen nach Backups und kopieren sensible Daten. Erst wenn sie ihre Ziele erreicht haben, verschlüsseln sie Systeme und hinterlassen ihre Lösegeldforderung.
Zwischen Forderung und Einigung liegen oft Welten
Die Höhe der Forderungen orientiert sich an Größe und wirtschaftlicher Leistungsfähigkeit eines Unternehmens. Die kleinste Zahlung, die Oliver Schneider bislang begleitet hat, lag bei 8.000 US-Dollar, die höchste Forderung bei 15 Millionen US-Dollar. In der Praxis liegen erfolgreiche Einigungen jedoch häufig deutlich darunter – abhängig von der jeweiligen Situation und dem Verhandlungsspielraum.
Auch Cyberkriminelle leben von ihrer Reputation
Obwohl es keine Garantien gibt, spielen Vertrauen und Reputation selbst in der Welt der Cyberkriminalität eine Rolle. Professionelle Ransomware-Gruppen sind darauf angewiesen, dass ihr Geschäftsmodell funktioniert. Deshalb wird die jeweilige Tätergruppe vor einer Verhandlung sorgfältig bewertet. Nach den Erfahrungen von Oliver Schneider führten die von ihm begleiteten Fälle bislang stets zu einer funktionierenden Entschlüsselung der Daten und einer Nichtveröffentlichung der entwendeten Informationen.
Den vollständigen Beitrag finden Sie bei der WirtschaftsWoche (kostenpflichtig).
Mit dem Team von RiskWorkers unterstützt Oliver Schneider Unternehmen in der Vorbereitung auf Cyberangriffe sowie im Ernstfall in der strukturierten Bewältigung von Ransomware-Vorfällen – von der ersten Lageeinschätzung bis zur Verhandlung. Und hier geht’s zu weiteren Informationen und Antworten auf häufige Fragen zu Ransomware und Cyber-Erpressung.

Oliver Schneider







