Deutsche Unternehmen geraten nahezu täglich ins Visier von Cyberkriminellen – und im Ernstfall beginnt ein Wettlauf gegen die Zeit. Ein aktueller Beitrag der WELT gibt seltene Einblicke in Strukturen und Geschäftsmodelle im Darknet und zeigt, wie professionell Ransomware-Angriffe heute organisiert sind.

Oliver Schneider, Sicherheitsexperte und Kidnap-Response-Consultant, kennt Verhandlungssituationen unter Extrembedingungen aus erster Hand – und ordnet vor diesem Hintergrund die Vorgehensweise der Täter ein:

Die Angreifer inszenieren sich häufig nicht als klassische Kriminelle, sondern als eine Art „Dienstleister“, die ein Problem gegen Bezahlung lösen. Fehlen funktionierende Backups, bleibt betroffenen Unternehmen oft nur der Weg in die Verhandlung.

Entgegen gängiger Empfehlungen rät Oliver Schneider davon ab, den Kontakt grundsätzlich zu vermeiden. Wer nicht reagiert, riskiert, dass sensible Daten im Darknet veröffentlicht werden. Zudem lässt sich der Austausch nutzen, um Zeit zu gewinnen und mehr über die Gegenseite zu erfahren.

Besonders prägnant beschreibt er die Struktur hinter vielen Angriffen:
Die Gruppen agieren nach einem Franchise-Modell – vergleichbar mit McDonald’s. Einzelne Akteure arbeiten unter dem Namen großer Ransomware-Organisationen wie Akira oder Blockbit, jedoch auf eigene Rechnung. Entsprechend unterschiedlich ist der Druck, einen Deal abzuschließen.

Im Einzelfall könne es ausreichen, der Gegenseite zu signalisieren, dass die Situation weniger kritisch ist als angenommen – oder ein begrenztes Angebot zu unterbreiten. Gleichzeitig basiert das Geschäftsmodell der Täter auf ihrer Reputation: Wer zahlt, erhält in vielen Fällen tatsächlich eine funktionierende Entschlüsselung.

Zum Beitrag „Die Erpressergruppen agieren nach dem Modell McDonald’s“ von Friedrich Steffes-lay auf welt.de.