Bei Ransomware-Angriffen wird ein sogenannter Verschlüsselungstrojaner auf den Endgeräten von Opfern aufgespielt, der dort wichtige Daten verschlüsselt und damit den Betroffenen entzieht. Für die Freigabe der Daten verlangen die Angreifer dann eine Art Lösegeld – meist in Form von Kryptowährung. Alternativ werden sensible Daten des Opfers entwendet und man droht mit einer Veröffentlichung, wenn nicht eine entsprechende Summe bezahlt wird. Immer wieder wird diskutiert, ob man in solch einem Ernstfall den Forderungen von Angreifern nachgehen darf oder nicht.

Sicherheitsexperten warnen nachdrücklich davor, das Lösegeld zu zahlen: Das „Geschäftsmodell“ der Cyberkriminellen funktioniert schließlich nur, wenn die Opfer mitspielen – würden sich alle Opfer weigern, das Lösegeld zu bezahlen, gäbe es keine Motivation mehr für weitere Attacken. Darüber hinaus gibt es keine Garantie, dass Angreifer nach erfolgter Zahlung den Schlüssel für die Entschlüsselung der Daten auch wirklich herausrücken bzw. entwendete Daten nicht doch veröffentlicht werden.

Dass ein solches Misstrauen gegenüber Cyberkriminellen mehr als angebracht ist, zeigt ein aktueller Vorfall, bei dem sich Cyberkriminelle offenbar untereinander betrogen haben. Die Hackergruppe ALPHV/Blackcat bietet Ransomware-as-a-Service-Programme, d.h. sie stellen die Schadsoftware als Dienstleistung bereit, die dann wiederrum von anderen Kriminellen in Angriffen benutzt wird. Ist ein Angriff erfolgreich, teilen sich beide Parteien die Beute – oder eben nicht, wie in einem aktuellen Fall: Die Gesundheitsplattform Optum in den USA wurde Opfer eines Angriffs und zahlte 22 Millionen US-Dollar Lösegeld, mit dem sich anscheinend ALPHV/Blackcat nun davonmachte und den eigentlichen Angreifer im Regen stehen ließ.

Das ist besonders bitter für Optum: Das Lösegeld wurde bezahlt, aber die Daten sind weiterhin in der Hand des Angreifers. Fordert dieser jetzt erneut ein Lösegeld? Schließlich wissen die Kriminellen nun, dass Optum grundsätzlich bereit ist, zu zahlen.

Solche Vorfälle verdeutlichen, wie wichtig Prävention ist: Im Ernstfall ist man den Angreifern in der Regel komplett ausgeliefert und es ist nicht vorhersehbar, wie sich diese verhalten. Nutzer:innen und Unternehmen sollten deshalb alles daran setzen, zu verhindern,  überhaupt Opfer eines Angriffs zu werden. Hierzu zählen technische Schutzvorkehrungen (wie beispielsweise Firewall, Antivirenschutz, regelmäßige Backups, zeitnahe Installation von Softwareupdates) sowie die Schärfung des eigenen Bewusstseins für mögliche Gefahrenquellen (Spam- und Phishing-Mails, unseriöse Webseiten vermeiden etc.).