Was ist ein Ransomware-Negotiator? Ein Spezialist, der im Auftrag der betroffenen Firmen mit Ransomware-Gruppen Kontakt aufnimmt und über Lösegeld verhandelt. Oft ist dieser «Verhandlungsführer» Teil des Einsatzteams einer externen Cybersecurity-Firma, die das Opfer nach dem Angriff hinzuzieht.
Was ist das Ziel? Gegenstand der Verhandlung ist zwar die Lösegeldzahlung – diese ist aber oft nur Mittel zum Zweck. Der Ransomware-Negotiator nutzt die Gespräche, um Zeit zu schinden, damit die IT-Leute die Situation analysieren können und die Firma wieder auf die Füsse kommen kann. Ein weiteres Ziel ist es, an Informationen über die Ransomware-Gruppen heranzukommen: «Je besser wir wissen, wie gewisse Gruppen reagieren, desto mehr Spielraum haben wir», erklärt ein Verhandlungsführer der Schweizer Cybersecurity-Firma Infoguard, dessen Name absichtlich nicht genannt wird.
Ein Flug umbuchen ist wesentlich mehr Stress.
Wie läuft der Kontakt mit Cyberkriminellen? Häufig laufen die Verhandlungen über einen Chat im Darknet. Das Gespräch findet meist auf Englisch statt und in einem professionellen Ton. Man hört oft, dass der «Kundendienst» von Ransomware-Gruppen besser sei als manch legaler Firma: «Durchaus – also es gibt bessere und schlechtere», bestätigt der Verhandlungsführer von Infoguard. «Ich sage mal, einen Flug umbuchen ist wesentlich mehr Stress als eine Verhandlung mit Ransomware-Akteuren führen.»
Wie funktionieren Ransomware-Gruppen? Ransomware-Gruppen sind wie Firmen organisiert. Sie haben Angestellte, Management und HR. Aus geleakten Chats der russischen «Conti»-Bande wissen wir, dass das Arbeitsumfeld nicht gerade glamourös ist: Überstunden, hoher Turnover in der Belegschaft und mit rund 2000 Franken im Monat nicht mal ein besonders guter Lohn. Die fetten Gewinne fliessen wohl an die Chefs oder ans organisierte Verbrechen.
Welche Regeln gelten für Ransomware-Gruppen? Es gibt zwar auch Gruppen ohne Regeln, aber viele erlassen Vorschriften für ihre Mitglieder und «Affiliates», also die Hacker, die ihre Software und Plattform nutzen. Dazu gehört häufig, dass Ziele wie Spitäler, Schulen oder kritische Infrastruktur tabu sind. Werden solche Ziele versehentlich doch getroffen, werden die Daten kostenlos herausgegeben, sobald der Irrtum bemerkt wird.
Ob diese Regeln aus Überzeugung gelten oder weil die Gruppen möglichst wenig Strafverfolgung auf den Plan rufen wollen, ist nicht klar – vermutlich ein wenig von beidem.
Es gibt auch Regeln bezüglich Lösegeld: Lockbit, eine der erfolgreichsten Ransomware-Banden, schreibt vor, dass die Hacker mindestens drei Prozent des Umsatzes der Firma als Lösegeld fordern und maximal 50 Prozent Nachlass gewähren.
Wie reagieren die Firmen? Der ganze Betrieb steht plötzlich still und es wird mit der Veröffentlichung von Daten gedroht – für die betroffenen Unternehmen ein Schock. Es gebe die unterschiedlichsten Reaktionen, erzählt ein Verhandlungsführer von Infoguard. In den vergangenen Jahren habe sich einiges geändert: «Es geht so weit, dass man oft den Eindruck hat, dass die Firmen erleichtert sind, dass es sie jetzt auch erwischt hat. Es ist auch kein schwarzer Fleck im Résumé mehr, einen Ransomwarevorfall miterlebt zu haben – weil es sehr viele betrifft.»
Der Technologie-Podcast von SRF über Internet, Smartphones, soziale Netzwerke, Computersicherheit und Games.
Um diesen Podcast zu abonnieren, benötigen Sie eine Podcast-kompatible Software oder App. Wenn Ihre App in der obigen Liste nicht aufgeführt ist, können Sie einfach die Feed-URL in Ihre Podcast-App oder Software kopieren.
