Dass es sich lohnt, in Cybersicherheit zu investieren, ist eine nackte Tatsache. Manchmal braucht es nur wenig, um einen Angriff zu verhindern. Aber die Praxis zeigt, dass Unternehmen dies unterschätzen. Sie gehen davon aus, dass sie für einen Angreifer uninteressant sind und somit ein leichtes Ziel darstellen. Das bedeutet, dass sie riskieren, eine Nachricht auf ihrem Gerät zu sehen, die besagt: „Sie wurden gehackt, zahlen Sie das Lösegeld oder Sie können nicht mehr auf Ihre Daten zugreifen“. In der Panik scheint die Zahlung der einfachste, wenn nicht sogar der einzige Weg zu sein. Das ist jedoch ein großer FEHLER!
Warum nie bezahlen
Einfach ausgedrückt: Ein Cyber-Angreifer ist ein gewöhnlicher Krimineller, der sich nicht um Ihre Daten kümmert. Er ist nur an Ihrem Geld interessiert. Sich darauf zu verlassen, dass Sie Ihre Daten zurückbekommen, ist mehr als naiv . „Es ist wichtig zu verstehen, dass der Angriffscode nicht das Produkt eines seriösen Softwareunternehmens ist, das den gesamten Entwicklungszyklus vom Entwurf bis zum Testen durchlaufen würde. Es ist einfach nur ein Stück Code, das irgendwie funktioniert. Die Priorität ist es, die Daten zu verschlüsseln, niemand kümmert sich darum, ob er sie entschlüsseln kann. erklärt der ethische Hacker und Cybersicherheitsexperte GAMO Ľubomír Kopáček. Angreifer verwenden gerne die Taktik, einen Teil der Daten zu entschlüsseln, um dies zu demonstrieren. „Aber diese Taktik ist völlig unseriös und sagt nichts aus. Ein weiteres Argument dafür, nicht zu zahlen, ist, dass Sie, wenn Sie zahlen und nicht gleichzeitig eine perfekte „Säuberung“ der kompromittierten Systeme durchführen, damit rechnen können, dass sich der gleiche Vorfall bald wiederholt.“ Kopáček fährt fort.
Dies sind einfache und logische Erklärungen. Aber es gibt auch viel größere und ernstere Risiken, denen die Opfer ausgesetzt sein können.
Unterstützung des internationalen Terrorismus
In der Regel verlangen die Angreifer die Zahlung von Lösegeld in Form von Kryptowährungen. Diese sind das ideale Zahlungsmittel für Cyber-Kriminelle, da es in der Regel unmöglich ist, den Empfänger zu identifizieren. Es sind Fälle bekannt, in denen sie aufgespürt wurden, aber das ist eher eine Seltenheit.
Das praktische Problem bei der Bezahlung mit einer Kryptowährung ist, wie eine solche Transaktion in das Buchhaltungssystem aufgenommen werden kann. Und damit, wie Sie das Geld des Unternehmens legal verwenden und den Angreifer bezahlen können. Außerdem besteht das Risiko einer Geldstrafe vom Finanzamt, da Sie nicht nachweisen können, für welche Dienstleistungen Sie das Geld verwendet haben. Außerdem ist der Kauf von Kryptowährungen nicht gerade ein einfacher Vorgang. Es gibt mehr Grenzen, als man auf den ersten Blick sieht. Zum Beispiel, wenn der Angreifer das Lösegeld auf 110 Tausend Euro festlegt.
„Zuerst müssen Sie eine Kryptowährungs-Brieftasche sichern, was normalerweise das geringste Problem ist. Sie brauchen es nur in Form einer Handy-App. Die erste Grenze, auf die Sie stoßen werden, ist das Kreditkartenlimit beim Kauf von Kryptowährungen. Sie können eine solche Menge nicht auf einmal auf offiziellem Weg kaufen „, sagt Ľubomír Kopáček. Sie können es nur nach und nach in kleineren Beträgen kaufen. Gleichzeitig müssen Sie immer noch auf einen guten Wechselkurs hoffen und mit Transaktionsgebühren rechnen. „Bei 110 Tausend würden Sie weitere 12 bis 20 Tausend Euro an Transaktionsgebühren zahlen. Hohe Beträge in Bezug auf die Umsetzung und die Kosten sind ein sehr großes Problem“. fügt er hinzu.
Meldung oder Nichtmeldung eines Vorfalls
Es ist sicherlich ratsam, den Vorfall zu melden. Wenn das Opfer eines Angriffs unter das Cybersicherheitsgesetz fällt und der Vorfall als schwerwiegend eingestuft wird, besteht sogar eine gesetzliche Verpflichtung dazu. Experten empfehlen außerdem, eine Strafanzeige zu erstatten, da es nützlich ist, eine offizielle Aufzeichnung der gesamten Angelegenheit zu haben, falls es zu weiteren Problemen mit anderen Behörden (Finanzamt, Sozialversicherung, Krankenkasse usw.) kommt. „Während eines Vorfalls zu schweigen ist nicht nur unklug, sondern in den meisten zivilisierten Ländern auch illegal und könnte die Gesellschaft mehr Geld kosten. Ich verstehe, dass Unternehmen die Weitergabe von Informationen über einen Vorfall als potenzielles Reputationsrisiko betrachten, aber die Nichtweitergabe von Informationen kann wiederum noch mehr Probleme für Unternehmen verursachen, wenn der Vorfall beispielsweise sozusagen zufällig in der Öffentlichkeit bekannt wird.“ erinnert der IT-Experte GAMO.
Je nach Branche, in der ein Unternehmen oder eine Organisation tätig ist, kann sie durch verschiedene Gesetze geregelt sein, die unter anderem vorschreiben, wie mit Cybersicherheitsvorfällen umzugehen ist. In bestimmten Sektoren gelten sogar mehrere Gesetze und Verordnungen gleichzeitig. So kann das Cybersicherheitsgesetz über Ordnungswidrigkeiten eine Geldbuße zwischen 300 und 300 Tausend Euro für Fahrlässigkeit im Zusammenhang mit einem Sicherheitsvorfall (Nichtmeldung oder Nichtbehandlung) verhängen. Der Vorfall selbst ist kein Grund für die Verhängung einer Geldbuße, wohl aber die Fahrlässigkeit bei der Behandlung des Vorfalls.
Es ist wichtig, hier zu sagen, dass seitens des Staates oder der Europäischen Union, die eine Geldstrafe verhängen können, der Betrag keinesfalls liquidiert werden sollte, sondern verhältnismäßig sein sollte. Dem Cyber-Angreifer geht es jedoch nicht um die Frage, ob sein Angriff Sie in existenzielle Gefahr bringt.
Warum eine Strafanzeige erstatten
In allen Fällen wird der Angreifer Sie davor warnen, während des Angriffs die Polizei oder einen Dritten zu kontaktieren. Wenn Sie jedoch Ihre Systeme und Arbeitsstationen nicht nutzen können, müssen Sie mit Strafen und Bußgeldern wegen Verspätung seitens der Behörden rechnen. Sei es vom Sozialversicherungsamt oder vom Finanzamt, und für diese müssen Sie etwas nachweisen, dass die Tat geschehen ist.
Sie würden zum Beispiel dasselbe tun, wenn jemand das Tor vor Ihrem Haus aufgebrochen hätte. Sie würden die Polizei anrufen, um Ihrer Versicherung einen Bericht über den Vorfall vorzulegen.
Einen Stürmer zu bezahlen ist also definitiv kein guter Weg. Alle Fallstricke lassen sich durch angemessene Prävention und Investitionen in den Schutz von Informationssystemen vermeiden.
