Hiscox-Studie: Lösegeldzahlungen – vor allem für KMU ein fatales Kalkül
Lösegeld als Business-Risiko: Warum CIOs heute auf Resilienz statt auf Verhandlung setzen müssen
Laut einer Untersuchung des Versicherers Hiscox scheitern 64 Prozent der kleinen und mittleren Unternehmen (KMU) nach einer Lösegeldzahlung an der vollständigen Wiederherstellung ihrer Daten. Die Hoffnung, durch die Zahlung den Business-Continuity-Prozess abzukürzen, erweist sich in der Praxis oft als Trugschluss.
Hiscox-Experte Klemens Lemke rät Unternehmen daher dringend, den Fokus auf präventive Maßnahmen, eine effiziente Incident Response und professionelle forensische Unterstützung zu legen.
Das Paradoxon der Erpressbarkeit
In einer vernetzten Wirtschaft gehören zwei Erkenntnisse mittlerweile zum Standardrepertoire der Cybersicherheit, auch wenn die operative Umsetzung oft hinterherhinkt: Erstens ist jedes Unternehmen, unabhängig von seiner Größe, ein potenzielles Ziel. Zweitens ist die Zahlung von Lösegeld kein Garant für die Entschlüsselung. Der Erwerb des Dechiffrierungs-Keys gleicht einem unkalkulierbaren Risiko, da die bereitgestellten Tools häufig fehlerhaft sind oder die Datenintegrität bereits irreparabel geschädigt wurde.
KMU im Fokus
Laut polizeilicher Kriminalstatistik richten sich rund 80 Prozent der bekannten Ransomware-Angriffe in Deutschland gegen den Mittelstand. Obwohl KMU laut dem aktuellen „Cyber Readiness Report“ von Hiscox den unbefugten Zugriff auf sensible Daten als größtes Geschäftsrisiko identifizieren, mangelt es oft an der Umsetzung einer resilienten IT-Infrastruktur. Dies macht sie in den Augen der Cyberkriminellen zu attraktiven Zielen mit hoher Erfolgsaussicht.
Compliance allein schafft keine Sicherheit
Interessanterweise benennt nur knapp über ein Drittel der KMU den Datenabfluss als Primärrisiko – ein Widerspruch zur strengen Regulatorik durch NIS2 oder DSGVO. Trotz drohender Sanktionen und der persönlichen Haftung von Geschäftsführern und Vorständen scheint der regulatorische Druck bisher nicht die gewünschte Schutzwirkung im Mittelstand zu entfalten.
Die Entscheidung für eine Lösegeldzahlung resultiert oft aus einer Mischung aus technischem Versagen und psychischem Druck. Wenn Backup-Strategien nicht stresstest-erprobt sind und der Betriebsstillstand die Existenz bedroht, wird die Zahlung als vermeintlich letzter Ausweg gesehen.
Die Rolle der Versicherer
„Wir raten entschieden davon ab, Lösegeld zu zahlen. Selbst nach einer Transaktion bleiben Daten oft verloren und Systeme müssen redundant neu aufgebaut werden“, erklärt Klemens Lemke, Underwriting Manager Cyber bei Hiscox Deutschland.
Kritisch zu betrachten ist dabei die Rolle der Cyberversicherer selbst. In älteren Policen ist die Übernahme von Lösegeldern oft noch Bestandteil der Deckung, was Fehlanreize setzen kann. Während in den USA Zahlungen an sanktionierte Gruppen verboten sind und Frankreich strenge Auflagen eingeführt hat, befindet sich die deutsche Debatte über ein mögliches Verbot oder die Abschaffung solcher Deckungszusagen noch in der Schwebe.
Strategisches Risiko: Die Markierung als zahlungsbereites Ziel
Die Zahlung eines Lösegelds bietet nicht nur keine Garantie für die Datenwiederherstellung, sie verschlechtert zudem die langfristige Risikoposition des Unternehmens. Laut Klemens Lemke von Hiscox riskieren Opfer, in kriminellen Netzwerken als „zahlungsbereit“ markiert zu werden, was die Wahrscheinlichkeit von Folgeangriffen massiv erhöht.
Studien belegen die Relevanz des sogenannten „Double-Dipping“-Phänomens: Rund 80 Prozent der Unternehmen, die gezahlt haben, werden erneut angegriffen. Solange die ursprüngliche Sicherheitslücke nicht identifiziert und vollständig geschlossen wurde, bleibt die kompromittierte Infrastruktur eine offene Flanke für Wiederholungstäter.
“Ransom, now what?!” – Best Practices
Tritt der Ernstfall trotz präventiver Schutzschirme ein, entscheidet das methodische Vorgehen in den ersten Stunden über das Schadenausmaß.
CIOs und CISOs sollten einer klaren Eskalationsmatrix folgen:
- Isolation und Containment: Sofortige Trennung betroffener Systeme vom Netzwerk, um eine laterale Ausbreitung der Verschlüsselungs-Malware zu verhindern. Dies schließt Cloud-Verbindungen und Backup-Schnittstellen explizit ein.
- Aktivierung des Incident Response Plans (IRP): Einberufung des Krisenstabs unter Einbeziehung von Rechtsabteilung, Datenschutzbeauftragten und externen IT-Forensikern.
- Forensische Beweissicherung: Vor dem Einspielen von Backups müssen Log-Files und Speicherabbilder gesichert werden. Ohne Identifikation des initialen Angriffsvektors droht bei der Wiederherstellung eine sofortige Neuinfektion.
- Validierung der Backup-Integrität: Prüfung, ob die Sicherungen (Offline- oder Immutable-Backups) kompromittiert wurden. Ein Wiederherstellungsversuch sollte zunächst in einer isolierten Sandbox-Umgebung erfolgen.
- Rechtliche Meldepflichten prüfen: Unter NIS2 und DSGVO laufen kurze Meldefristen (oft 72 Stunden) an die Aufsichtsbehörden. Auch die Cyberversicherung muss unverzüglich informiert werden, um den Deckungsschutz nicht zu gefährden.
- Kommunikationsstrategie: Transparente Information an Stakeholder und Kunden nach Abstimmung mit der Rechtsabteilung, um Reputationsschäden zu minimieren.
Auch interessant: Interview mit Jana Ringwald, Cyberstaatsanwältin bei der Generalstaatsanwaltschaft Frankfurt am Main, darüber, was Ermittlungsbehörden wirklich tun und wie sie helfen, wenn Unternehmen attackiert werden.
--
Dieser Artikel basiert auf einem Beitrag unserer Schwester-Website CRN.