Ransomware im Unternehmen: Vorgehen bei Cyberangriffen

Durch einen Cyberangriff werden Rechner eines Unternehmens verschlüsselt. Kriminelle fordern ein hohes „Lösegeld“, damit sie die Daten herausgeben. Solche Ransomware-Angriffe verursachen hohe und mitunter existenzbedrohende Schäden. Wir geben einen Überblick, wie Sie sich vor Cyberangriffen schützen können und wie Sie vorgehen sollten, wenn Sie betroffen sind.

Was ist Ransomware?

Wie der Branchenverband Bitkom e. V. ausgerechnet hat, verursacht Cybercrime jährliche Schäden in Höhe von über 220 Mrd. Euro – Tendenz steigend. Allein im Bereich Ransomware hat sich der Schaden für die deutsche Wirtschaft mit 24,3 Mrd. Euro innerhalb von zwei Jahren fast verfünffacht.

Das Bundeskriminalamt hält fest:

„Cybercrime gehört weiter zu den Phänomenbereichen mit dem höchsten Schadenspotenzial in Deutschland.“

Bundeskriminalamt, Pressemitteilung vom 09.05.2022

Längst sind nicht mehr größere Einrichtungen wie Konzerne oder Unikliniken im Visier, sondern auch kleine und mittelständische Unternehmen. 96 % der von Bitkom befragten Unternehmen gaben an, Ransomware-Angriffe seien für ihre IT-Sicherheit sehr oder eher bedrohlich.

Bei einem Ransomware-Angriff verschlüsseln die Täter sensible Daten auf Endgeräten. Das betroffene Unternehmen hat in der Regel keine Möglichkeit, die Daten wieder nutzbar zu machen. Die Erpresser geben an, die Daten wieder zu entschlüsseln, wenn ein Lösegeld gezahlt wird, was zumeist in Form einer Kryptowährung wie Bitcoin erfolgen soll. Im Fokus stehen zumeist Windows-Rechner, aber grundsätzlich kann jedes Computersystem durch Schadsoftware verschlüsselt werden.

Ist keine ausreichende Datensicherung vorhanden, sind die verschlüsselten Daten unrettbar verloren, wenn nicht die Täter den Schlüssel herausgeben.

Zusätzlich kann es zu einem Datenabfluss und der Drohung mit einer Veröffentlichung kommen. Die wenigsten Ransomware-Angriffe beschränken sich heute auf die Verschlüsselung, sondern nutzen dieses zweigleisige Vorgehen, um die betroffenen Unternehmen zu einer Zahlung zu bewegen.

Was sind die Folgen von Ransomware-Angriffen?

Bei einem erfolgreichen Angriff droht ein existenzgefährdender vollständiger Verlust von Unternehmensdaten. Diese müssen aufwendig rekonstruiert werden, wenn dies überhaupt möglich ist. Aber auch wenn ein aktuelles Backup vorhanden ist: Maßnahmen zur Wiederherstellung können häufig mehrere Wochen oder gar Monate in Anspruch nehmen.

Sind personenbezogene Daten betroffen, besteht darüber hinaus gegebenenfalls eine Verpflichtung, den Datenverlust bei der Aufsichtsbehörde und den betroffenen Personen transparent zu machen. Kommt es wegen des Datenverlusts zu Schäden bei Kunden, können diesen gegebenenfalls Schadensersatzansprüche zustehen.

Neben diesen unmittelbaren Auswirkungen drohen auch Reputationsschäden, vorwiegend in Branchen, in denen Vertraulichkeit besonders wichtig ist, z. B. im Gesundheitswesen oder Bankensektor.

Sind Sie auf Cyberattacken vorbereitet?

Wenn Sie Inhaber:in eines Unternehmens sind, dann sollten Sie sich ehrlich die Frage stellen, ob Sie sicher sind, dass Sie und Ihre Beschäftigten auf die dargestellte Bedrohungslage eingestellt sind.

Wenn in Ihrem Unternehmen

  • kein Backup-Konzept existiert
  • die Geschäftsführung nicht mindestens ein Mal im Jahr mit der IT-Abteilung über die Sicherheit spricht
  • keine Vorgehensweisen für den Fall eines Sicherheitsvorfalls verabredet wurden

sollten Sie sich dingend Gedanken um Ihre IT-Sicherheit machen.

Wie kann ich mich vor Ransomware schützen?

Entscheidend ist, das Schadenspotenzial regelmäßig zu bewerten und technische und organisatorische Maßnahmen für den Umgang mit IT-Systemen zu implementieren. Dabei handelt es sich um einen dauerhaften Prozess, denn Technik wie auch die möglichen Bedrohungen entwickeln sich stetig weiter.

Notwendige Voraussetzung für einen ausreichenden Schutz ist, dass das Unternehmen die Bedrohung durch Cybercrime ernst nimmt. Keine Abteilung, die mit IT-Systemen arbeitet, kann außen vor gelassen werden.

In einem ersten Schritt gilt es, durch eine Analyse des Ist-Zustands kritische Schwachstellen zu entdecken und zu schließen. In den Blick zu nehmen sind dabei unterschiedliche Ebenen, unter anderem

  • die Technik
  • die organisatorischen Abläufe
  • die Beschäftigten des Unternehmens

Empfehlenswert ist es, ein Sicherheitshandbuch zu erstellen, in dem alle Maßnahmen zusammengefasst und aktuell gehalten werden. Die Beschäftigten benötigen klare Vorgaben, was sie im Umgang mit der IT beachten müssen und sollten regelmäßig geschult werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt eine Vielzahl von Informationen bereit. Zu betonen ist aber, dass eine professionelle Beratung in vielen Fällen empfehlenswert ist.

Was sollte ich bei einem Ransomware-Angriff tun?

Kommt es zu einem Sicherheitsvorfall, sollten Sie nicht auf eigene Faust handeln, sondern professionelle Dienstleister hinzuziehen, die sich mit Ransomware-Angriffen auskennen und sofort Gegenmaßnahmen einleiten können.

Als Rechtsanwälte nehmen wir im Ernstfall eine koordinierende Funktion ein. Wir unterstützen Sie bei der Kommunikation mit den Behörden, begrenzen den Schaden durch eine rechtliche Bewertung des Vorgangs und schützen Ihre Reputation in der Öffentlichkeit.

Vor allem gilt:

  • Bleiben Sie ruhig und handeln Sie nicht übereilt.
  • Richten Sie einen Krisenstab (oder eine Projektgruppe) ein.
  • Prüfen Sie, welche Meldepflichten bestehen.

Das BSI hat einen Leitfaden „Erste Hilfe bei einem schweren IT-Sicherheitsvorfall“ veröffentlicht, an dem Sie sich orientieren können.

Zu entscheiden ist, ob zeitnah die Ermittlungsbehörden eingeschaltet werden sollen. Falls Sie dies tun wollen, wenden Sie sich an die zentrale Ansprechstelle für Cybercrime in Ihrem Bundesland. In Nordrhein-Westfalen ist diese beispielsweise bei der Staatsanwaltschaft Köln angesiedelt.

Wie kann ich Ransomware entfernen?

Ob und wie Ransomware entfernt werden kann, ist eine technische Frage, die am besten mit einem speziellen Dienstleister zu prüfen ist.

Zunächst müssen Sie herausfinden, welche Art von Ransomware Ihre Endgeräte befallen hat. In manchen Fällen gibt es bereits die Möglichkeit zur Entschlüsselung. Bei der Identifizierung der Schadsoftware helfen Dienste wie ID Ransomware oder Crypto Sheriff.

Darf und sollte ich das Lösegeld zahlen?

Können Dateien nicht mehr entschlüsselt werden, stellt sich die Frage: Zahlen oder nicht?

Das BSI rät grundsätzlich davon ab, den Forderungen der Erpresser nachzukommen:

„Jede erfolgreiche Erpressung zeigt den Erfolg des Angriffs und motiviert den Angreifer weiter zu machen. Sie finanziert die Weiterentwicklung der Schadsoftware und fördert deren Verbreitung. Mit jeder bezahlten Infektion steigt damit die Wahrscheinlichkeit für den Betroffenen noch einmal, vielleicht sogar über raffiniertere Verfahren, infiziert zu werden. Es gibt keine Garantie, dass die Verbrecher auch ihr ‚Wort halten‘ und die Entschlüsselung ermöglichen oder ausgeleitete Daten auch wirklich löschen.“

BSI, Ransomware – Bedrohungslage, Prävention & Reaktion 2021

In der Rechtswissenschaft wird diskutiert, ob die Zahlung von Lösegeld nach § 129 StGB als Unterstützung einer kriminellen Vereinigung strafbar ist. Aus diesem Grunde sollte die Entscheidung nicht getroffen werden, ohne einen Anwalt mit dem Schwerpunkt Cybercrime hinzuzuziehen.

Wem muss ich eine Ransomware-Attacke melden?

Ein Sicherheitsvorfall ist nicht immer meldepflichtig. In bestimmten Konstellationen kann aber eine Pflicht zur Einschaltung der zuständigen Behörde bestehen.

  • Wenn personenbezogene Daten betroffen sind, muss nach Art. 33 DSGVO innerhalb von 72 Stunden die Datenschutzaufsicht in Kenntnis gesetzt werden. Gegebenenfalls sind auch die betroffenen Personen zu informieren.
  • Betreiber von kritischer Infrastruktur sind nach der BSI-Kritisverordnung zur unverzüglichen Meldung an das BSI verpflichtet. Dies betrifft hauptsächlich Unternehmen aus den Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung, Gesundheit, Transport und Verkehr sowie dem Finanz- und Versicherungswesen.

Ob in Ihrem Fall eine Meldepflicht besteht, sollten Sie im Einzelfall prüfen lassen, auch um mögliche Bußgelder zu vermeiden.

Über den Autor

Rechtsanwalt Dr. Jasper Prigge

Dr. Jasper Prigge, LL.M., ist Fachanwalt für Urheber- und Medienrecht. Er berät Unternehmen und Verbände vor allem in Fragen des Urheberrechts und IT-Rechts. Weitere Schwerpunkte sind das Presserecht und Krisenkommunikation.

Kontakt aufnehmen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert