Wenn Hacker zuschlagen: So reagieren Sie richtig bei einer Ransomware-Attacke

​
Die Anzahl von Cyberangriffen steigt. Weltweit nahmen die Angriffe 2024 im Vergleich zum Vorjahr um 44 Prozent zu. Neben Naturkatastrophen und Krankheitswellen sind es Cyberangriffe, die Unternehmen in unserer technologisierten Gesellschaft herausfordern. Doch wie können Unternehmen bei Ransomware-Angriffen die Oberhand behalten? Hier erfahren Sie, wie Sie im Krisenfall richtig reagieren – und wie Sie sich vorbereiten können.

Ein kurzer Moment der Unachtsamkeit und ein Klick auf einen vermeintlich sicheren Link oder einen unscheinbaren E-Mail-Anhang reicht aus: Der Zugriff auf wichtige Dateien ist gesperrt, das System reagiert nicht. Cyberkriminelle haben die Kontrolle übernommen. Unternehmensdaten wurden verschlüsselt und sind nun als digitale Geiseln in den Händen der Angreifer. Die Forderung folgt prompt: Lösegeld. Bleibt die Zahlung aus, drohen sie mit der Veröffentlichung vertraulicher Informationen. Was so drastisch klingt, passiert schneller, als man denkt. Dieser fiktive Fall wird immer wahrscheinlicher: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) werden jeden Tag rund 70 neue kritische Schwachstellen in Softwareprodukten gemeldet. Jede einzelne kann potenziell ein Einfallstor für Angreifer mit verheerenden Folgen sein.

Das Risiko einer Ransomware-Attacke steigt massiv

Die Bedrohung aus dem Netz wächst – und mit ihr die finanziellen Folgen für Unternehmen jeder Größe. Allein 2023 beläuft sich der durch Cyberattacken verursachte Schaden auf über 200 Milliarden Euro, 2024 erreicht der Schaden mit über 266 Milliarden Euro einen Rekordwert. Dabei geht es längst nicht nur um Lösegeldforderungen. Viel schwerer wiegen oft die Kosten durch Produktionsstillstände, die aufwendige Wiederherstellung von Daten und der langfristige Verlust von Vertrauen. Inzwischen fokussieren sich die Kriminellen auf mobile Geräte, um sowohl an unternehmensbezogene als auch personenbezogene Daten zu gelangen. Und der Zugang zur nötigen Schadsoftware ist erschreckend einfach: Ransomware-Kits gibt es schon für rund 40 Dollar.

Was früher vor allem Konzerne traf, ist heute Alltag in jeder Branche und trifft verstärkt kleine und mittelständische Betriebe – vom produzierenden Gewerbe bis zum Dienstleistungssektor. Für viele KMU kann ein einziger erfolgreicher Angriff das Aus bedeuten. Damit Cyberattacken keinen großen Schaden anrichten können, müssen Unternehmen aktiv werden, Risiken erkennen und in nachhaltige IT-Sicherheitsstrategien investieren. Denn Prävention ist heute keine Option mehr – sondern überlebenswichtig.

Die vier Phasen eines fiktiven Ransomware-Angriffs

Phase 1: „Sie wurden gehackt“

Selbst sorgfältige Mitarbeitende können durch immer raffiniertere Täuschungsmethoden Opfer eines Angriffs werden. In solchen Situationen zählt jede Sekunde. Jetzt ist der Zeitpunkt gekommen, in dem ein zuvor vorbereiteter Notfallplan greifen muss. Moderne Alarmierungssysteme erlauben es, mit einem Knopfdruck das interne Krisenteam sofort zu benachrichtigen. Je nach Konfiguration können auch weitere Schlüsselpersonen eingebunden werden, um über das Ausmaß des Vorfalls und das geplante Vorgehen informiert zu bleiben.

Digitale Tools, die außerhalb der eigenen IT-Infrastruktur betrieben werden – etwa als cloudbasierte SaaS-Lösungen – bieten hier entscheidende Vorteile. Selbst wenn das interne System kompromittiert ist, bleibt die Kommunikation zwischen den relevanten Abteilungen gewährleistet. Betroffene Mitarbeitende werden automatisiert mit dem Krisenteam in einem geschützten virtuellen Raum zusammengeführt oder erhalten Anweisungen für ein persönliches Treffen. Ziel ist es immer, schnellstmöglich koordinierte Maßnahmen zu ergreifen und weiteren Schaden zu verhindern.

Phase 2: Das Krisenmanagement wird aktiviert

Ist der Ernstfall eingetreten und die oder der Krisenverantwortliche informiert, gilt es, sich schnellstmöglich einen Überblick zu verschaffen. Ausgehend von den W-Fragen - Was ist passiert? Wo ist es passiert? Wann ist es passiert? Warum ist es passiert und wie ist es passiert? – werden die notwendigen Rollen einberufen und Handlungsmöglichkeiten definiert. Wichtig ist dabei auch, alle Stakeholder – u.a. Medien, Investoren, Kunden – ins Boot zu holen und den Reputationsschaden möglichst gering zu halten. Ist der Vertrauensverlust zu groß, würde sich das auf die weitere Zusammenarbeit auswirken. Denn die Angreifenden könnten ebenfalls Zugriff auf die gespeicherten Daten Einzelner haben und diese jederzeit nutzen, um ihre Verhandlungsposition zu stärken. Digitale Tools wie FACT24 helfen, die Kommunikation effizienter und professioneller zu gestalten. Zugleich bieten sie eine zentrale Plattform, um wichtige Informationen zur aktuellen Lage, mögliche Lösungswege, Entscheidungsvorschläge, Gründe für die Entscheidung und Schlussfolgerungen übersichtlich zu dokumentieren.

Phase 3: Die Verhandlung wird eingeleitet

Ob Lösegeld gezahlt wird, hängt von vielen Faktoren ab - so gut wie immer sind es rechtliche, ethische oder finanzielle Überlegungen. Zunächst muss sich das Unternehmen fragen, ob es aus ethischen Gesichtspunkten überhaupt bereit ist, mit Kriminellen zu verhandeln. Auf der finanziellen Seite stellt sich die Frage, ob es eventuell günstiger ist, die Daten ohne die Entschlüsselungssoftware wiederherzustellen als das Lösegeld zu zahlen. Auch wenn Unternehmen nicht planen zu zahlen, sollten sie in die Verhandlung eintreten, um Zeit zu gewinnen. Wichtig dabei ist, dass Unternehmen sich vor Aufnahme jeglicher Kommunikation eine rechtliche Beratung einholen. Handelt es sich beispielsweise um eine russische Attacke oder einen Angriff aus einem anderen Land, das auf einer Sanktions-Liste steht, darf bereits aus juristischen Gründen kein Lösegeld gezahlt werden.  Auch die Unternehmens-Policy gibt in den meisten Fällen klare Handlungsanweisungen vor – und für alle im Artikel genannten Ratschläge gilt: Jede Cyberattacke ist unterschiedlich und kann sich anders auf das Unternehmen auswirken. Für die strategisch taktische Beratung von Verhandlungsgesprächen sollten entsprechende Experten herangezogen werden.

Um zu verhandeln, müssen Unternehmen in der Regel einen Tor Browser downloaden, über den auf den spezifischen Service der Angreifer zugegriffen und ein „Proof of Data“ angefordert werden kann. Dies ermöglicht die gestohlenen Daten einzusehen und somit von der IT-Abteilung eine Einschätzung des Schadens und der Kosten für die Wiederherstellung zu bekommen. Um hierbei keine wertvolle Zeit zu verlieren, ist eine schnelle abteilungsübergreifende Kommunikation unerlässlich. Bei einer Software-as-a-Service-Lösung ist diese auch gewährleistet, wenn alle sonstigen Kommunikationswege vom Unternehmen ausgefallen sind. Dank integrierter Chat-Funktion können sich die Abteilungen schnell untereinander kontaktieren und Dateien wie den “Proof of Data” austauschen.

Wenn sich das Unternehmen für eine Verhandlung entscheidet, wird mit Unterstützung der Polizei ein Übermittlungsweg gesucht. Nach einer Einigung wird das Lösegeld meist in Bitcoin oder einer vergleichbaren Währung gezahlt. Jedoch muss an dieser Stelle gewarnt werden, dass auch bei erfolgreicher Zahlung keine Datenrückgabe garantiert ist. Um das Risiko eines solchen Szenarios zu minimieren, sollten Unternehmen vor einer Zahlung eine schriftliche Zusicherung vom Angreifer einholen. Diese sollte garantieren, dass die erbeuteten Daten nicht veröffentlicht werden und ein funktionierender Downloadlink – ein sogenannter Decrypter zur Wiederherstellung bereitgestellt wird. Verhandlungstipp: Forderungen mit ungeraden Beträgen wirken seriöser und können die Chancen erhöhen, den geforderten Betrag zu senken.

Phase 4: Die Nachbereitung optimiert die Sicherheit und die Prozesse

Die akute Krise ist vorerst überstanden: Die Verhandlungen sind abgeschlossen, alle relevanten Gruppen – von der Presse über Partner bis zur Unternehmensleitung – sind auf dem aktuellen Stand. Doch was jetzt folgt, ist der eigentliche Kraftakt. Die IT-Infrastruktur muss von Grund auf neu gedacht werden. Es reicht nicht, nur zu reparieren – sie muss robuster, intelligenter und widerstandsfähiger sein als zuvor. Dazu zählen ausgeklügelte Sicherheitsmechanismen wie lernfähige Spam-Filter, deutlich strengere Vorgaben für Passwörter und ein System, das sich automatisch mit den neuesten Sicherheitsupdates versorgt.

Doch Technologie allein genügt nicht. Regelmäßige Schulungen zur Cybersicherheit – vom Umgang mit Phishing-Versuchen bis hin zu Strategien gegen Social Engineering – sind unerlässlich, um das Sicherheitsbewusstsein der Mitarbeitenden zu stärken. War das Unternehmen bereits vor dem Vorfall digital gut aufgestellt, so wurde jede Maßnahme im Krisenfall detailliert dokumentiert. Daraus lassen sich nicht nur Erkenntnisse für künftige Vorfälle ableiten, sondern auch gezielte Trainingsprogramme entwickeln.

Der Unterschied zwischen einem angeschlagenen und einem resilienten Unternehmen liegt in der Konsequenz des Handelns. Wer die Krise als Wendepunkt begreift und digitale Resilienz gezielt fördert, schafft eine Grundlage, um künftigen Bedrohungen selbstbewusst zu begegnen.

Autor: Markus Epner

Autorenbiografie: Markus Epner ist ausgewiesener Krisenexperte mit einer mehr als 20-jährigen Erfahrung im Sicherheits- und Krisenmanagement, u.a. bei der Deutschen Lufthansa und Boehringer Ingelheim. Aktuell ist Epner bei F24 als Head of Academy tätig.