Strategien und Taktiken: Mit Ransomware-Erpressern richtig verhandeln

Ransomware-Verhandlungen erfordern ein tiefes Verständnis der zugrundeliegenden Konzepte und Prozesse. Mentale Modelle, ethische Überlegungen, die Wahl des Kommunikationsmediums und die Anzahl der beteiligten Parteien spielen eine entscheidende Rolle. Verhandlungstheorien aus dem Bereich der Krisenbewältigung und der Geiselverhandlungen bieten wertvolle Ansätze, die sich auf den Cyberbereich übertragen lassen.

• Mentale Modelle beinhalten die kognitive Repräsentation der Verhandlung, die das Verständnis des Selbst, der Beziehungen zu anderen Verhandlungspartnern und die Wahrnehmung der Verhandlungsstruktur und -prozesse umfasst. In Ransomware-Situationen ist das primäre Ziel der Angreifer, den maximalen Profit zu erzielen, was zu rationalen und zielgerichteten Handlungen führt.
• Ethik spielt eine wichtige Rolle bei Verhandlungen, insbesondere in Ransomware-Situationen. Viele Organisationen haben Richtlinien, die die Zahlung von Lösegeld verbieten, um kriminelle Aktivitäten nicht zu unterstützen. Dennoch kann die Dringlichkeit, kritische Daten wiederherzustellen, dazu führen, dass ethische Bedenken zugunsten praktischer Lösungen zurückgestellt werden.
• Die Wahl des Kommunikationsmediums beeinflusst ebenfalls die Verhandlungsergebnisse. Face-to-Face-Interaktionen fördern das Vertrauen und die Ehrlichkeit, während schriftliche oder digitale Kommunikation Misstrauen hervorrufen kann. In Ransomware-Verhandlungen sprechen die Beteiligten meist über digitale Medien miteinander, was besondere Herausforderungen für den Vertrauensaufbau mit sich bringt.
• Die Anzahl der beteiligten Parteien erhöht die Komplexität von Verhandlungen. In Ransomware-Situationen sind häufig mehrere Akteure beteiligt, darunter die Angreifer, die Opfer und oft auch Verhandlungsführer oder Mediatoren. Diese Mehrparteilichkeit erfordert eine sorgfältige Koordination und eine klare Kommunikationsstrategie. Die Komplexität dieser Mehrparteienverhandlungen macht den Einsatz spezifischer Taktiken unerlässlich, um erfolgreiche Ergebnisse zu erzielen.

Verhandlungstaktiken und deren Auswirkungen

Es gibt eine Reihe von Verhandlungstaktiken, die Unternehmen anwenden können, um die Cyberkriminellen zu beeinflussen. So beinhaltet „Being Kind“ beispielsweise ein freundliches und hilfsbereites Verhalten, um eine positive Beziehung zum Verhandlungspartner aufzubauen. Ein Beispiel ist, dem Angreifer zu signalisieren, dass man an einer schnellen und fairen Lösung interessiert ist, um unnötige Komplikationen zu vermeiden. Freundlichkeit kann helfen, die Verhandlung auf eine persönlichere Ebene zu heben und das Misstrauen des Angreifers zu verringern.

Bei „Being Equal“ werden gemeinsame Interessen und Erfahrungen betont, um eine Basis für die Zusammenarbeit zu schaffen. Man könnte gleiche Ziele wie das Vermeiden von Datenlecks oder den Schutz der Reputation hervorheben. Diese Taktik hilft, eine gemeinsame Basis zu finden und den Angreifer davon zu überzeugen, dass eine Kooperation im besten Interesse beider Parteien liegt.

Die Taktik „Rational Persuasion“ nutzt logische Argumente, um das Verhalten des Verhandlungspartners zu beeinflussen und die eigenen Ziele zu erreichen. Man könnte die Kosten und Risiken für den Angreifer aufzeigen, falls keine Einigung erzielt wird, wie etwa die Konsequenzen eines Datenlecks oder die Unmöglichkeit der Zahlung aufgrund finanzieller Einschränkungen.

„Emotional Appeal“ ist ein Appell an die Gefühle des Angreifers, um eine emotionale Verbindung herzustellen. Dies kann durch das Hervorheben der menschlichen Konsequenzen des Angriffs erfolgen, wie zum Beispiel die Auswirkungen auf die Mitarbeiter des Unternehmens oder deren Familien.

Eine weitere Taktik ist „Legitimizing“, also die Berufung auf gesellschaftliche Normen oder vorherige Vereinbarungen, um die Forderungen des Angreifers zu rechtfertigen oder abzulehnen. Das kann dabei helfen, eine rationale Basis für die Verhandlungen zu schaffen und den Angreifer dazu zu bringen, seine Forderungen zu überdenken.

Bei „Imposing Restriction“ versucht man Einschränkungen aufzuerlegen oder eine begrenzte Verfügbarkeit zu signalisieren, um den Cyberkriminellen zu einer schnelleren Entscheidung zu drängen. Dies könnte durch das Aufzeigen eines begrenzten Zeitrahmens oder durch die Betonung der eingeschränkten Verfügbarkeit von Ressourcen geschehen.

Effizienz der Taktiken

Auf der Grundlage einer ausführlichen Analyse der Ergebnisse von mehr als 130 realen Ransomware-Verhandlungen weltweit haben der Autor dieses Beitrags und sein Team die Wirksamkeit der oben genannten Taktiken bewertet. Die untersuchten Verhandlungen variierten in ihrer Länge und Komplexität, was eine umfassende Untersuchung der angewandten Verhandlungstaktiken ermöglichte.

Dabei zeigte sich, dass Taktiken wie „Being Kind“ und „Rational Persuasion“ bessere Verhandlungsergebnisse hervorbrachten, während andere Strategien weniger effektiv waren. Freundliches und kooperatives Verhalten sowie die Verwendung logischer Argumente führten häufig zu einer deutlichen Reduzierung der geforderten Lösegeldsummen, wie folgende Beispiele aus der Praxis zeigen:

• Ein mittelständisches Unternehmen in Deutschland wurde 2022 von der Ransomware Conti angegriffen. Die initiale Forderung betrug zwei Millionen Euro. Durch die Anwendung der Taktiken „Being Kind“ und „Rational Persuasion“ konnte das Unternehmen die Forderung auf 500.000 Euro reduzieren. Die Verhandlung dauerte fünf Tage, wobei die Verhandlungsführer des Unternehmens kontinuierlich die finanzielle Situation der Firma darlegten und auf die potenziellen negativen Konsequenzen eines Datenlecks hinwiesen.
• Ein IT-Dienstleister in Deutschland wurde 2022 von der Ransomware Hive angegriffen. Die initiale Forderung betrug 1,5 Millionen Euro. Mit der Taktik „Rational Persuasion“ und durch das detaillierte Darlegen der technischen und finanziellen Einschränkungen konnte das Lösegeld auf 300.000 Euro reduziert werden. Die Verhandlungen dauerten sieben Tage.
• Ein Gesundheitsdienstleister in der EU wurde 2023 von der Ransomware BlackCat angegriffen. Die Forderung der Cyberkriminellen betrug drei Millionen Euro. Durch den Einsatz der Taktiken „Being Kind“ und „Emotional Appeal“ konnte das Unternehmen das Lösegeld auf 750.000 Euro senken. Die Verhandlungen zogen sich über zehn Tage hin. Die Verhandlungsführer hoben immer wieder die potenziellen Auswirkungen auf Patienten hervor.

Die statistische Auswertung zeigte, dass die durchschnittliche Rabattierung des Lösegelds bei etwa 51,87 Prozent lag, wobei die Spannweite von 0 Prozent bis 98 Prozent reichte. Die Analyse deutet darauf hin, dass die eingesetzten Verhandlungstaktiken eine entscheidende Rolle bei der Reduzierung der geforderten Lösegeldbeträge spielen.

Der durchschnittliche Jahresumsatz der betroffenen Unternehmen lag zwischen fünf Millionen Euro und 22,8 Milliarden Euro, was ein breites Spektrum an finanziellen Ressourcen und Verhandlungsvollmachten widerspiegelt. Es zeigte sich, dass größere Unternehmen tendenziell höhere Rabatte aushandeln konnten. Ursache hierfür ist eine stärkere Verhandlungsposition und ihre Fähigkeit, spezialisierte Verhandlungsführer einzusetzen.

Empfehlungen für Verhandlungen

Basierend auf den Ergebnissen können die folgenden strategischen Überlegungen für IT-Sicherheitsverantwortliche, einschließlich SOC-Manager, Threat Hunter, IT-Leiter und das Management, hilfreich sein:

• Einbeziehung professioneller Hilfe: Bei komplexen Ransomware-Verhandlungen kann es von Vorteil sein, spezialisierte Cybersicherheitsunternehmen hinzuzuziehen, da diese über das notwendige Fachwissen verfügen, um effektive Verhandlungstaktiken anzuwenden und die Chancen auf eine erfolgreiche Lösung zu erhöhen.
• Aufbau eines Cyber-Crisis-Management-Teams (CMT): Ein proaktiv etabliertes CMT kann im Ernstfall sofort aktiv werden. Es empfiehlt sich, ein Team aus Fachleuten verschiedener Bereiche zu bilden, um eine schnelle und umfassende Reaktion zu gewährleisten.
• Rechtliche Beratung: Die Konsultation von Rechtsexperten ist wesentlich, um die Einhaltung der Gesetzgebung zu garantieren und unerwünschte rechtliche Folgen zu vermeiden. Dies ist besonders wichtig bei Zahlungen in Kryptowährungen, um rechtlichen Herausforderungen zuvorzukommen.
• Förderung von Empathie: Ein freundliches und verständnisvolles Verhalten kann die Atmosphäre während der Verhandlungen verbessern und das Vertrauen auf beiden Seiten stärken, was zu konstruktiveren Gesprächen führen kann.
• Betonung gegenseitiger Interessen: Das Aufzeigen gemeinsamer Ziele kann die Kooperationsbereitschaft erhöhen und zu positiveren Verhandlungsergebnissen führen.
• Anwendung logischer Argumente: Eine rationale Argumentation kann helfen, überzogene Forderungen der Gegenseite zu mindern, indem klare finanzielle und rechtliche Rahmenbedingungen aufgezeigt werden.

Durch die Berücksichtigung dieser Ansätze und das Hinzuziehen fachkundiger Unterstützung können Organisationen besser auf Ransomware-Angriffe reagieren und deren Auswirkungen minimieren.
Es bleibt entscheidend, dass IT-Sicherheitsverantwortliche und die Geschäftsführung stets gut informiert sind und proaktiv handeln, um ihr Unternehmen zu schützen.

Fazit

Insgesamt deuten die Ergebnisse der Untersuchung darauf hin, dass freundliches und kooperatives Verhalten sowie die Verwendung logischer Argumente zu besseren Resultaten führen. Die im Beitrag geschilderten Erfahrungen bieten wertvolle Einblicke in die Dynamik von Ransomware-Verhandlungen und legen den Grundstein für zukünftige Analysen und Arbeiten. Allerdings basieren die Erkenntnisse auf einer begrenzten Anzahl von Verhandlungen, wodurch die Ergebnisse möglicherweise nicht auf alle Ransomware-Situationen übertragbar sind. Zukünftige Studien sollten größere Datensätze verwenden, um die Aussagekraft zu erhöhen. Darüber hinaus könnte die Untersuchung kultureller und regionaler Unterschiede in der Verhandlungstaktik weitere wertvolle Erkenntnisse liefern.

In der Praxis sollten alle IT-Sicherheitsverantwortlichen ihre Verhandlungsfähigkeiten und -strategien kontinuierlich weiterentwickeln, um besser auf die sich ständig ändernden Bedrohungen durch Ransomware reagieren zu können. Neue Technologien wie künstliche Intelligenz und maschinelles Lernen bieten hierfür Möglichkeiten. Beispielsweise könnten Algorithmen eingesetzt werden, um auf der Grundlage historischer Daten die effektivsten Verhandlungstaktiken vorherzusagen.