Hier in Kanada, wo ich lebe, ist es wieder an der Zeit, die Steuererklärung abzugeben. Gerade Unternehmen und auch viele Privatpersonen vertrauen dazu auf professionelle Hilfe von einem Steuerberater, schließlich wird er schon dafür sorgen, dass die Papiere ordnungsgemäß ausgefüllt und fristgerecht eingereicht werden.
Stellen Sie sich jetzt vor, Sie erhalten einige Monate später eine Mitteilung vom Finanzamt, dass Ihre Zahlung überfällig ist und Sie zudem noch Säumniszuschläge und Verzugszinsen zahlen sollen. Aus der Verwirrung wird Panik, wenn Sie dann auch noch feststellen, dass Ihr Geld, das als Steuerzahlung vorgesehen war, weg ist und der Steuerberater, dessen Rechnung Sie auch längst beglichen haben, nicht mehr auf Anrufe reagiert.
Es stellt sich heraus, dass der Steuerberater nicht nur von Ihnen, sondern von vielen Kunden Geld veruntreut und sich aus dem Staub gemacht hat. Hätten Sie schon vorher von seinen kriminellen Absichten gewusst, hätten Sie ihn sicher gar nicht erst beauftragt und erst recht nicht bezahlt, richtig?
Doch in der Welt der Cyberkriminalität gibt es regelmäßig Fälle, in denen Personen oder Firmen Kriminelle mit demselben Ergebnis bezahlen. Fairerweise muss man sagen, dass es einige Opfer gibt, die in der Tat ihre Daten wiederbekommen haben und ihrem regulären Betrieb nachgehen konnten. Trotz der Versprechen und Garantien, die Ransomware-Gruppen vielleicht geben, gibt es jedoch niemals eine Möglichkeit, absolut sicherzustellen, dass die gestohlenen Daten in der Tat herausgegeben und gelöscht werden, damit sie nicht in Zukunft missbraucht werden können.
Das liegt im Grunde daran, dass Ransomware-Kriminelle zwei Ziele unter einen Hut zu bringen versuchen:
- Sie wollen einen Ruf der Glaubwürdigkeit aufbauen, damit die Opfer glauben, dass die während der Lösegeldverhandlungen gemachten Versprechen, so klein sie auch sein mögen, eingehalten werden. Dieser Ruf bzw. diese Marke hilft wiederum produktive Partner zu gewinnen; also Gruppen oder Einzelpersonen, die die Daten der Opfer für die Ransomware-Gruppe ausfindig machen, sich Zugriff darauf verschaffen und sie stehlen.
- Mit dem Ziel des Geldverdienens möchten sie natürlich auch den höchsten Gewinn aus ihren Opfern schlagen. Wurde ein Lösegeld gezahlt, haben die gestohlen Daten immer noch Wert, um es auf die Privatleute oder Unternehmen abzusehen, denen diese Daten gehören. So lässt sich weiter Geld machen, etwa durch das Erpressen dieser neuen Opfer, Überweisungsbetrug oder gezielte Phishing-Kampagnen.
Gelangt man dennoch in die unangenehme Lage, mit Cyberkriminellen verhandeln zu müssen, sollten Opfer besser wissen, wie Kriminelle sich verhalten, anstatt die gemachten Versprechen zu glauben. Sehen wir uns zwei recht aktuelle Beispiele an, um die Risiken zu verdeutlichen.
LockBit
LockBit ist mit Einnahmen in Milliardenhöhe eine der erfolgreichsten Ransomware-Gruppen überhaupt. Derartiger krimineller Erfolg zieht natürlich auch die Aufmerksamkeit der Strafverfolgungsbehörden auf sich. Im Verlauf von 2024 fanden daher intensive Bemühungen statt, um die Drahtzieher der Gruppe aufzuspüren und deren Infrastruktur zu Fall zu bringen.
Am 20. Februar 2024 erzielte Operation Cronos, eine Einsatzgruppe der NCA, des FBI und Strafverfolgungsbehörden aus neun weiteren Ländern, einen maßgeblichen Sieg, als sie die Infrastruktur von LockBit beschlagnahmte. Bei der Aktion wurden auch Hunderte LockBit-Partner benannt, was wiederum die Glaubwürdigkeit von LockBit bei diesen beeinträchtigte und viele von ihnen zweifellos nervös machte, dass bald die Polizei an ihre Tür klopfen könnte.
Anschließend folgte ein fesselndes Katz-und-Maus-Spiel, das schließlich im Mai seinen Höhepunkt erreichte, als Dmitry Khoroshev öffentlich als Administrator und leitender Entwickler bekanntgegeben wurde. Außerdem bestätigte die Einsatzgruppe, dass die von LockBit gestohlenen Daten nach den Lösegeldzahlungen nicht gelöscht worden waren.
Mit diesen Enthüllungen sollten sich Opfer die Frage stellen, weshalb man mit Ransomware-Gruppen verhandeln und Lösegelder zahlen sollte, wenn diese ihren Teil der Abmachung sowieso nicht einhalten. LockBit ist sicher nicht die einzige Gruppe, die ihre Versprechen nicht einhält.
PowerSchool
PowerSchool ist ein Anbieter von cloudbasierten Softwarelösungen für Schulen und Schulbezirke, der weltweit über 60 Millionen Schüler und über 18 000 Kunden unterstützt. Anfang Januar 2025 gab das Unternehmen bekannt, gehackt geworden zu sein. Dabei waren Schülerdaten von über 6 500 Schulbezirken in den USA, Kanada und anderen Ländern kompromittiert worden.
Man solle sich aber keine Sorgen machen, PowerSchool habe Experten damit beauftragt, mit den Angreifern zu verhandeln, das Lösegeld bezahlt und auch Versicherungen (Videobeweise sogar) erhalten, dass die Daten gelöscht worden waren.
Aber nicht jede Geschichte endet gut und den Versprechen von Kriminellen zu vertrauen, ist bestenfalls als naiv zu bezeichnen. Behörden wie das FBI oder die CISA raten sogar ausdrücklich davon ab, Lösegelder zu zahlen. Wie es nicht anders zu erwarten war, wurde einige Monate nach der Zahlung der Schulbezirk Toronto erpresst. In einer Pressemitteilung vom 7. Mai bestätigte PowerSchool, dass dieselben Daten, die angeblich gelöscht worden waren, erneut verwendet wurden, um mehrere Schulbezirke zu erpressen.
Weshalb zahlt sich eine Zahlung nicht aus?
Es gibt viele Antworten auf die Frage, ob eine Lösegeldzahlung richtig ist oder nicht. Das Geld wird von den Kriminellen zu weiterer Forschung eingesetzt, um noch ausgeklügeltere Angriffe durchzuführen, die sogar Leben gefährden können. Die Zahlung von Lösegeld, um gestohlene Daten wiederzuerlangen, birgt zudem ethische und möglicherweise rechtliche Risiken. Der einfachste Grund dürfte allerdings der sein, dass Kriminelle schlicht nicht vertrauenswürdig sind. Sobald das Geld überwiesen wurde, gibt es keinerlei Garantie, ob die Versprechen auch eingehalten werden.
Ein abschließender Gedanke
Im Chaos der Krise kann eine Lösegeldzahlung als die schnellste Lösung des Problems erscheinen, aber wie der PowerSchool-Vorfall zeigt, bedeutet das noch lange nicht, dass Ihre Daten – oder die Ihrer Schüler, Mitarbeiter oder Kunden – dann auch wirklich sicher sind.
Schauen Sie sich also Ihren Cyberschutz noch einmal genau an. Wenn Sie heute in vorbeugende Maßnahmen investieren, bleiben Sie hoffentlich in Zukunft vor der Entscheidung „Zahlen oder nicht zahlen?“ verschont. Ebenso, wie Sie niemals einen betrügerischen Steuerberater beauftragen würden, sollten Sie auch Ihr Vertrauen – und Ihr Geld – niemals in die Hände von Cyberkriminellen legen.
Weitere Informationen zu Ransomware-Angriffen und wie Sie sich und Ihr Unternehmen davor schützen können, finden Sie in unserer Reihe Ransomware im Fokus. Wir haben einige Artikel, Fallstudien und Strategien zusammengestellt, damit Sie vorbereitet und informiert sind.
Übersetzung: Doreen Schäfer