In seinem berühmten Werk Die Kunst des Krieges sagte Sun Tzu: „Wenn du deinen Feind kennst und dich selbst kennst, brauchst du das Ergebnis von hundert Schlachten nicht zu fürchten“ Diese alte Weisheit fasst zusammen, wie man mit Ransomware-Hackern verhandeln sollte
Wenn Sie Ihr eigenes Unternehmen und die Auswirkungen eines Ransomware-Angriffs kennen, können Sie zusammen mit Informationen über die Angreifer entscheiden, wie Sie verhandeln oder ob Sie überhaupt verhandeln sollten.
Wie navigieren Sie also durch eine stressige Lösegeldverhandlung?
Schritt 1: Aufbau eines Teams
Der erste Schritt bei der Reaktion auf Ransomware ist die Bildung eines Teams. Sie benötigen einen Teamleiter, der sich einen Überblick über die Situation verschafft und diese Daten den Entscheidungsträgern präsentieren kann, was möglicherweise die Koordination mit den Leitern verschiedener Abteilungen und die Sammlung von Daten erfordert
Außerdem benötigen Sie Teammitglieder, die für verschiedene Aufgaben qualifiziert sind, vom Aufbau sicherer Kommunikationskanäle über die Zusammenfassung von Daten für Entscheidungsträger bis hin zur tatsächlichen Lösegeldzahlung
Wenn Sie sich für die Inanspruchnahme eines professionellen Ransomware-Entschlüsselungsdienstes entscheiden, müssen Sie Teammitglieder benennen, um deren Arbeit zu erleichtern.
Schritt 2: Kontaktaufnahme mit den Strafverfolgungsbehörden
Bevor Sie mit den Hackern sprechen, sollten Sie die Strafverfolgungsbehörden kontaktieren und die Sicherheitsverletzung melden. Ein bestimmtes Teammitglied sollte sich um die Erfassung der für den Polizeibericht benötigten Daten und die Kommunikation mit den Behörden kümmern
Schritt 3: Sichere Kommunikation einrichten
Die Hacker beobachten Sie möglicherweise, um an Insider-Informationen zu gelangen, die sie im Verhandlungsprozess nutzen können. Es ist wichtig, die gesamte Kommunikation im Zusammenhang mit den Verhandlungen sicher und verschlüsselt zu halten
Schritt 4: Schadensbeurteilung
Es ist nur dann sinnvoll, Lösegeld zu zahlen, wenn der Nutzen größer ist als die Kosten einer Datenpanne. Das bedeutet, dass Sie Dinge wissen müssen wie
- Welcher Teil des Netzwerks wurde beschädigt?
- Welche Arten von Daten wurden kompromittiert?
- Welche Kosten sind mit den Datenlecks verbunden (z. B. Patientendaten, Kundendaten, Geschäftsgeheimnisse usw.)?
- Welche Ransomware-Variante wurde für den Angriff verwendet?
Sie müssen auch wissen, wie sich die verschlüsselten Daten auf Ihre Arbeit auswirken werden:
- Wie wird sich der Verlust der verschlüsselten Daten auf den Betrieb auswirken? Wie viel wird die Unterbrechung kosten?
- Wie lange würde es dauern, um durch manuelle Datenwiederherstellung oder Datenrekonstruktion zum normalen Betrieb zurückzukehren?
- Wie wird sich der Schaden auf die Kundenbeziehungen und das Markenimage auswirken?
Cyberkriminelle können eine Menge Daten stehlen, und sie wissen, dass dies eine Menge zu bedenken ist. Aus diesem Grund versuchen sie, die Opfer unter Druck zu setzen – sie wollen nicht, dass Sie genügend Zeit haben, um gute, fundierte Entscheidungen zu treffen
Schritt 5: Kontaktaufnahme
Wenn Sie die Möglichkeit haben, ist es am besten, kein Lösegeld zu zahlen, und die meisten Strafverfolgungsbehörden empfehlen, dies nach Möglichkeit zu vermeiden. Wenn die Kosten des Angriffs jedoch zu hoch sind, kann es notwendig sein, die Hacker zu kontaktieren
Seien Sie vorsichtig, wenn Sie mit Angreifern sprechen
Hüten Sie sich vor Hackern, die versuchen, Sie zur Herausgabe von Informationen zu verleiten, die gegen Sie verwendet werden können. Bleiben Sie ruhig und geben Sie keine sensiblen Informationen preis, wenn Sie mit ihnen sprechen
Überprüfen Sie das Ausmaß des Datenverlustes
Bevor Sie über das Lösegeld verhandeln, vergewissern Sie sich, dass die Angreifer nicht bluffen. Trauen Sie keiner ihrer Behauptungen und verlangen Sie Beweise.
In manchen Fällen laden sie die Dateien auf einen Server hoch, auf dem Sie sie sehen können. In diesem Fall wissen Sie, dass ihre Drohungen echt sind
Schritt 6: Prüfen Sie die Lösegeldforderung
Zu diesem Zeitpunkt wissen Sie Bescheid
- Wie groß das Ausmaß des Angriffs ist.
- Wie viel Ausfallzeit Ihnen droht, wenn Sie die Daten nicht wiederherstellen können.
- Wie lange es dauern wird, bis der Normalzustand wiederhergestellt ist, wenn Sie die Daten wiederherstellen.
- Eine grobe Schätzung der Kosten, die entstehen, wenn die Daten nicht wiederhergestellt werden.
Wenn die Kosten für das Lösegeld geringer sind als der Schaden, der entsteht, wenn Sie das Lösegeld nicht zahlen, ist es wirtschaftlich sinnvoll, das Lösegeld zu zahlen.
Mit wem haben Sie es zu tun?
Nachdem Sie mit den Hackern Kontakt aufgenommen haben, ist es wichtig zu wissen, mit welcher Gruppe Sie es zu tun haben. Einige Ransomware-Banden sind dafür berüchtigt, dass sie mehrere Lösegeldzahlungen fordern, nachdem sie versprochen haben, keine Daten weiterzugeben. Andere versuchen, sich einen guten „Ruf“ zu verschaffen, da sie wissen, dass es dadurch leichter wird, Geld zu bekommen.
Schritt 7: Gegenangebote machen
Die meisten Lösegelder können um mindestens 20 %, manchmal sogar um bis zu 90 %heruntergehandelt werden. Nachlässe von über 50 % sind bei den meisten Verhandlungen üblich. Es ist hilfreich, die typische Spanne der Lösegeldzahlungen für ähnliche Unternehmen wie das Ihre zu kennen, damit Sie ungefähr wissen, was die Angreifer erwarten
Das durchschnittliche Lösegeld, das von einem kleinen Unternehmen gezahlt wird, beträgt etwa 0,22 % des jährlichen Gesamtumsatzes. Diese Zahl kann als Ausgangspunkt dienen, um Ihnen eine ungefähre Vorstellung von der Höhe des zu erwartenden Lösegelds zu geben.Das Lösegeld kann jedoch je nach Art des Angriffs und der Vorgehensweise der Angreifer niedriger oder höher ausfallen
Verhandlungstechniken
Eine gängige Verhandlungstechnik besteht darin, eine kleinere Summe jetzt oder eine größere Summe später anzubieten und zu behaupten, dass man nicht zahlen kann. Eine Nachricht an die Hacker könnte zum Beispiel so lauten:
„Unser Unternehmen hat im Moment nicht genug Kapital, um diesen Betrag zu zahlen. Wir haben jedoch 80.000 Dollar, die wir sofort zahlen können, wenn Sie uns den Entschlüsselungsschlüssel liefern und die Daten löschen.“
Gleichzeitig sollten Sie die Intelligenz des Angreifers nicht durch lächerliche Behauptungen beleidigen. Wenn Sie zu unehrlich sind, können Sie Ihre Glaubwürdigkeit bei den Angreifern verlieren, was sich negativ auf Ihre Verhandlungsposition auswirken kann.
Schritt 8: Die Zahlung vornehmen
Eigentlich ist die Zahlung nicht Teil der Verhandlung, aber die Zahlungsmodalitäten können die Verhandlungen beeinflussen. Einige Hacker bieten Rabatte an, wenn Sie sich bereit erklären, mit einer anonymen Kryptowährung wie Monero (XMR) zu zahlen
Ruhig bleiben und weitermachen
Es ist wichtig, die Verhandlungen über Ransomware mit einem kühlen Kopf anzugehen. Panik hilft Ihnen nicht weiter.
Scheuen Sie sich nicht, um mehr Zeit zu bitten, wenn Sie von den Hackern bedroht werden, und zögern Sie nicht, Experten zu Rate zu ziehen oder Profis zu beauftragen, wenn Sie sich überfordert fühlen.