Anzeige

Hacked

Canon, Xerox, Carnival Cruises: Immer wieder werden namhafte Unternehmen verschiedener Branchen Opfer von Cyberkriminalität. Doch es trifft längst nicht mehr nur die „Großen“. Im Gegenteil: Die Hacker haben Unternehmen vom kleinen Mittelständler bis zum großen Konzern im Visier – und schlagen sie einmal zu, kann es für jeden Betrieb düster aussehen. 

Gerade in letzter Zeit häufen sich die Angriffe: Die Hacker nutzten die coronabedingten Schutzmaßnahmen der Unternehmen und das damit verbundene Home-Office vieler Mitarbeiter aus und suchen nach Schnittstellen, um in die betriebsinternen Datenbanken einzudringen.

So wurde unlängst auch ein deutsches Unternehmen mit einem Jahresumsatz von zirka einer Milliarde Euro Opfer eines solchen Cyberangriffs. Per E-Mail gelangten die Makro-Viren in das System, das zu großen Teilen lahmgelegt wurde und den Hackern Zugriff auf interne Kundendaten und Adressbücher gewährte. Damit konnte die Schadsoftware über die betriebsinternen E-Mail-Accounts auch an Kunden, Partner und Lieferanten verschickt werden. Für die Freigabe der Daten verlangten die Hacker ein Lösegeld in Form von Bitcoins in Höhe von 500.000 Euro – in der Sicherheit, dass diese Forderung zum Erfolg führt: Rund 70 Prozent der von Hackerangriffen betroffenen Unternehmen zahlen Lösegeld aus Angst vor weitreichendem Schaden.

Grundsätzlich muss daher fast jedes betroffene Unternehmen mit den Angreifern in Kontakt treten, um die Lösegeldforderung zu erfüllen oder zu verhandeln. Gut beraten ist hier, wer sich nicht nur an die Polizei wendet, sondern auch fachkundige Unterstützung für das Verhandeln mit den Hackern sucht. Denn Unsicherheit und Unerfahrenheit werden in dieser Situation schnell zum Fallstrick. Ein falscher Satz, ein unbedachtes Angebot – und schon ist das betroffene Unternehmen noch fester in den Händen der Verbrecher. Eine ausgeklügelte Verhandlungsstrategie hingegen kann die Lösegeldforderung minimieren und den Schaden begrenzen.

Die Verhandlungsstrategie hängt hierbei stark vom Gegenüber ab. Handelt es sich um einen Einzeltäter oder eine Organisation mehrerer Täter? Wie professionell treten die Hacker auf? In welchem Ausmaß sind sie zum Verhandeln bereit? Nur wer hier einen kühlen Kopf bewahrt, ruhig bleibt und sachlich verhandelt, kann seine Interessen in dieser schwierigen Situation wahren und im schlimmsten Fall seine Existenz retten. Ein geschickter Verhandlungsführer, eine individuell ausgearbeitete Strategie und ein genau definiertes Ziel sind wichtig dafür, dass die Opfer in den Verhandlungen mit den Angreifern nicht „den Kürzeren ziehen“. Emotionen wie Angst, Vorwurf und Wut sollten – auch wenn sie noch so verständlich sind – den Gesprächen fernbleiben.

Um trotz dieser nervenaufreibenden Situation möglichst ruhig und selbstbewusst aufzutre-ten und sachlich zu verhandeln, hat sich der spieltheoretische Verhandlungsansatz bewährt und führte auch im genannten Unternehmen zum Erfolg: Innerhalb von 12 Stunden verschaffte sich eine Drei-Mann-Taskforce von Kerkhoff Negotiations, dem beauftragten Unternehmen für professionelle Verhandlungsführung, einen ganzheitlichen Überblick über den Hergang des Angriffes und über das vorliegende IT-System.

Mit solch unverzüglich eingeleiteten Sofortmaßnahmen sollte jedes Unternehmen bei einer Cyberattacke reagieren:

1. Bewertung der Schwere des Angriffs unter Einbezug der IT und des Legal Teams

2. Zügige Entwicklung eines „Cyber Attack Response Plans“ (z.B.: Wann wird Kon-takt zum LKA aufgenommen? Wann wird Kontakt zu den Angreifern gesucht?) inkl. einer Cyber Attack Command Struktur (Wer trifft die Entscheidungen im Falle eines Cyber Angriffs? Wie werden Entscheidungen intern und extern kommuniziert?)

3. Bestimmung und Verbesserung des BATNA (=Best Alternative to Negotiatiated Agreement)

4. Beginn der Verhandlungen mit den Hackern, um Lösegeldforderungen zu reduzie-ren, Deadlines zu verlängern oder um zusätzliche Informationen über die Erpres-ser zu erhalten (auch wenn letztlich kein Lösegeld gezahlt werden soll!)

 

Bild: Kerkhoff Negotiations 

 

Im genannten Beispiel wurde mittels eines Übersetzers und des beauftragten Verhandlungsführers bereits binnen 24 Stunden nach dem Angriff mit den Erpressern verhandelt. Dabei gab es für ein möglichst effektives Krisenmanagement zwei unterschiedliche Taskforces als Bestandteil des Cyber Attack Response Plans:

  • intern zur Schadensminimierung: möglichst viele Kunden, Lieferanten und Partner sollten informiert und damit geschützt werden
  • extern zur Verhandlung mit den Erpressern sowie für die Zusammenarbeit mit dem LKA

Die Verhandlungen wurden mithilfe eines vorab festgelegten strikten Verhandlungsplans durchgeführt, der auf spieltheoretischen Methoden basierte, die jegliche Emotionen außen vor ließen. Hierbei war es von zentraler Bedeutung, dass zuvor eine ganzheitliche Bewertung der Situation vorgenommen wurde, welche neben einer Bewertung der Zahlungsbereitschaft auch das BATNA für unseren Kunden, als auch für die Hacker beinhaltet hat.

Letztlich wurde die Lösegeldforderung in kurzer Zeit um die Hälfte auf 250.000 Euro reduziert und ein dauerhafter Schaden abgewandt. In der vorab durchgeführten Analyse hatte sich gezeigt, dass der mögliche Schaden bei nicht erfolgter Einigung ein Vielfaches des letztlich gezahlten Lösegelds betragen hätte.

Die Verhandlungsführung erfolgte unter dem Einsatz eines Negotiation Cyber Framework: Anwendung des FBI-Models, von Behavioral Economics, eines strikten Storybooks sowie psychologischer Grundlagen.

 

FBI-Model

Verhandler: Tritt in direkten Kontakt mit Erpressern. Baut eine persönliche Verbindung auf, zeigt dem Gegenüber Kompromissbereitschaft und schafft es so, die Verhandlungen auf eine Sachebene zu führen. Ohne die persönliche Verbindung und die Verhandlung auf Sachebene wäre irrationales Handeln der Gegenseite möglich, welches auf Emotionen beruht. Der Verhandler kann Entscheidungen nur im Rahmen seiner Befugnisse treffen

Coach: Beobachtet die Verhandlung im Hintergrund und hat so viel gedankliche Freiheit, um Signale und Botschaften aufzunehmen, die der Verhandler durch die emotionale Bindung nicht erfassen kann

Entscheidungsträger: Trifft die Entscheidungen und trägt die Verantwortung für das Gesamtergebnis

Mittels Behavioral Economics können vorab die Motive und das voraussichtliche Handeln der Gegenseite analysiert werden. Das schafft Vorsprung: Man kann seinem Gegenüber immer ein bis zwei Schritte voraus sein.  Psychologie hilft uns darüber hinaus bewusst ein Spannungslevel in der Verhandlung zu erzeugen und hierdurch unsere Ziele zu untermauern.

Als sogenannter „Schattenverhandler“ für das betroffene Unternehmen steuerte und koordinierte der Verhandlungsführer auch die Übergabe des Lösegelds und das weitere Vorgehen und konnte damit die Situation für beide Seiten innerhalb von 48 Stunden zufriedenstellend klären.

Es bleibt als Fazit stehen: Je professioneller und vorbereiteter Unternehmer den Angreifern entgegentreten können, desto größer sind ihre Chancen, den Angriff mit geringem Schaden zu überstehen. Unternehmen, die sich bereits vor dem Eintreten des Notfalls darauf vorbereitet und ein starkes Abwehrsystem entwickelt haben, können die kritischen ersten Stunden, die durchaus existenzbedrohend sein können, für sich nutzen und die Angreifer mit ihrer professionellen Strategie „überraschen“. Wer über eine starke Verhandlungsmacht verfügt, kann beispielsweise Zeit für polizeiliche Ermittlungen gewinnen oder die Lösegeldforderung minimieren.

 

Checkliste

Bei Verhandlungen mit Hackern gelten folgende goldene Regeln:

  • Evaluiere Dein BATNA (= Best Alternative to Negotiated Agreement) für Dich und die Gegenseite; monetär und qualitativ: Was geschieht, wenn auf die Forderung der Hacker nicht eingegangen wird?
  • Verbessere Dein BATNA; verschlechtere das BATNA der Gegenseite: Gibt es Maßnahmen, die Dein BATNA verbessern (z.B. Daten durch Backups wieder-herstellen) oder das BATNA der Gegenseite verschlechtern (z.B. gestohlene Daten bewusst selbst veröffentlichen)
  • Analysiere das Motiv des Angreifers (Lösegeld maximieren, Reputationsscha-den anrichten) und leite eine Verhandlungsstrategie ab. 
  • Beginne so bald wie möglich die Kommunikation mit den Erpressern: um das Lö-segeld zu reduzieren, Deadlines zu verlängern, zeitschindende Rückfragen zu stellen (Wie funktioniert die Bezahlung mit Bitcoin?) oder zusätzliche Informationen über den Angreifer zu erhalten 


 

René Schumann, Geschäftsführer & Gründer
René Schumann
Geschäftsführer & Gründer, Kerkhoff Negotiations

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.