Zum Inhalt springen

Ransomware-Negotiator «Einen Flug umbuchen ist stressiger als eine Lösegeldverhandlung»

«Ihre wertvollen Daten wurden gestohlen und verschlüsselt.» Diese Nachricht erhalten immer mehr Unternehmen. Was dann? SRF hat mit dem Mann gesprochen, der für die Firmen mit den Cyberkriminellen verhandelt.

Was ist ein Ransomware-Negotiator? Ein Spezialist, der im Auftrag der betroffenen Firmen mit Ransomware-Gruppen Kontakt aufnimmt und über Lösegeld verhandelt. Oft ist dieser «Verhandlungsführer» Teil des Einsatzteams einer externen Cybersecurity-Firma, die das Opfer nach dem Angriff hinzuzieht.

Ransomware ...

Box aufklappen Box zuklappen

… ist ein Schadprogramm, das Daten verschlüsselt, um Lösegeld zu erpressen.

Heutzutage werden meistens zusätzlich zur Verschlüsselung die Daten auch noch gestohlen und es wird mit der Veröffentlichung gedroht, sollte nicht bezahlt werden ( «Doppelte Erpressung» ).

Was ist das Ziel? Gegenstand der Verhandlung ist zwar die Lösegeldzahlung – diese ist aber oft nur Mittel zum Zweck. Der Ransomware-Negotiator nutzt die Gespräche, um Zeit zu schinden, damit die IT-Leute die Situation analysieren können und die Firma wieder auf die Füsse kommen kann. Ein weiteres Ziel ist es, an Informationen über die Ransomware-Gruppen heranzukommen: «Je besser wir wissen, wie gewisse Gruppen reagieren, desto mehr Spielraum haben wir», erklärt ein Verhandlungsführer der Schweizer Cybersecurity-Firma Infoguard , dessen Name absichtlich nicht genannt wird.

Ein Flug umbuchen ist wesentlich mehr Stress.
Autor: Ransomeware-Negotiator Verhandlungsführer bei Infoguard

Wie läuft der Kontakt mit Cyberkriminellen? Häufig laufen die Verhandlungen über einen Chat im Darknet. Das Gespräch findet meist auf Englisch statt und in einem professionellen Ton. Man hört oft, dass der «Kundendienst» von Ransomware-Gruppen besser sei als manch legaler Firma: «Durchaus – also es gibt bessere und schlechtere», bestätigt der Verhandlungsführer von Infoguard. «Ich sage mal, einen Flug umbuchen ist wesentlich mehr Stress als eine Verhandlung mit Ransomware-Akteuren führen.»

Verhandlungstricks

Box aufklappen Box zuklappen
  • Technische Fragen: Mit spezifischen Fragen kann ein Ransomware-Negotiator Zeit schinden. Denn um solche zu beantworten, muss das Gegenüber meist bei den eigentlichen Hackern nachfragen.
  • Lokalisierung mit Redewendungen: Die Verhandlungssprache ist Englisch, woher die Angriffe kommen, bleibt im Dunkeln. Es gibt jedoch einen sprachlichen Trick: Wenn man sprachspezifische Redewendungen einstreut, zum Beispiel russische Sprichwörter, und das Gegenüber diese nicht bemerkt, spricht es wohl diese Sprache. Kommt ein «Hä?» zurück, kommt es wohl von woanders.
  • Profiling: Man erkennt den Menschen an seinen Entscheidungen. Zum Beispiel daran, ob er seine Ordner ordentlich «Test.txt» benennt oder «sdkfnv.txt», oder ganz effizient «1.txt».
  • Bürokratie vorschützen: Die Person, die verhandelt, ist meistens nicht die, die entscheidet. Gibt man vor, jedes Mal erst mit der Geschäftsleitung sprechen zu müssen, kann man Verhandlungen in die Länge ziehen.

Wie funktionieren Ransomware-Gruppen? Ransomware-Gruppen sind wie Firmen organisiert. Sie haben Angestellte, Management und HR. Aus geleakten Chats der russischen «Conti»-Bande wissen wir, dass das Arbeitsumfeld nicht gerade glamourös ist: Überstunden, hoher Turnover in der Belegschaft und mit rund 2000 Franken im Monat nicht mal ein besonders guter Lohn. Die fetten Gewinne fliessen wohl an die Chefs oder ans organisierte Verbrechen.

Mann in Kaputzenpulli und Skimaske über dem Gesicht lehnt sich über eine Tastatur und starrt in drei Bildschirme
Legende: Keine Einzeltäter aus dem Keller: Die meisten Cyberkriminellen tragen weder Kapuzenpullis noch Skimasken. Sie sind oft bei einer Ransomware-Gruppe angestellt, wo sie langweilige Routinejobs mit regelmässigen Arbeitszeiten und tiefen Löhnen haben. IMAGO / Panthermedia

Welche Regeln gelten für Ransomware-Gruppen? Es gibt zwar auch Gruppen ohne Regeln, aber viele erlassen Vorschriften für ihre Mitglieder und «Affiliates», also die Hacker, die ihre Software und Plattform nutzen. Dazu gehört häufig, dass Ziele wie Spitäler, Schulen oder kritische Infrastruktur tabu sind. Werden solche Ziele versehentlich doch getroffen, werden die Daten kostenlos herausgegeben, sobald der Irrtum bemerkt wird.

Ob diese Regeln aus Überzeugung gelten oder weil die Gruppen möglichst wenig Strafverfolgung auf den Plan rufen wollen, ist nicht klar – vermutlich ein wenig von beidem.

Es gibt auch Regeln bezüglich Lösegeld: Lockbit, eine der erfolgreichsten Ransomware-Banden, schreibt vor, dass die Hacker mindestens drei Prozent des Umsatzes der Firma als Lösegeld fordern und maximal 50 Prozent Nachlass gewähren.

Wie reagieren die Firmen? Der ganze Betrieb steht plötzlich still und es wird mit der Veröffentlichung von Daten gedroht – für die betroffenen Unternehmen ein Schock. Es gebe die unterschiedlichsten Reaktionen, erzählt ein Verhandlungsführer von Infoguard. In den vergangenen Jahren habe sich einiges geändert: «Es geht so weit, dass man oft den Eindruck hat, dass die Firmen erleichtert sind, dass es sie jetzt auch erwischt hat. Es ist auch kein schwarzer Fleck im Résumé mehr, einen Ransomwarevorfall miterlebt zu haben – weil es sehr viele betrifft.»

Druck auf die Chefs

Box aufklappen Box zuklappen

Manche Ransomware-Gruppen versuchen, persönlichen Druck auf das Management der Firma zu machen, um an Zahlungen zu kommen.

In den ersten Datenpaketen, die sie publik machen, um zu beweisen, dass sie die Daten wirklich besitzen, finden sich zum Beispiel oft Passfotos des CEO. Manchmal greifen Cyberkriminelle auch zum Telefon und rufen direkt die Privatnummer des CFO an.

Der Verhandlungsführer von Infoguard beobachtet hier eine Zunahme: «Der Trend ist schon da, dass man sagt: Wir kennen auch euch als Person.»

SRF 1, 3.10.2024, 21:00 Uhr

Meistgelesene Artikel