Der Ransomware-Markt floriert. Zwar raten Security-Fachleute von Lösegeldzahlungen ab, doch viele Unternehmen sehen keinen anderen Ausweg. Das Analystenhaus Forrester gab sogar einen Guide zum Vorgehen beim Erpresstwerden heraus. Da fragt sich der Unternehmer von Welt: Welche Etikette ist hier zu beachten? Und was trägt man zu diesem Anlass?
Ransomware ist Schutzgeld-Erpressung 4.0: Cyberkriminelle verleiten per Phishing zum unvorsichtigen Klick, nachgeladene Malware verschlüsselt die Daten des Unternehmens (gerne auch inklusive der Backups), und dann macht ein Pop-up-Fenster dem Opfer in bester Don-Corleone-Manier „ein Angebot, das es nicht ablehnen kann“. Besonders fiese Fieslinge kopieren die Datenbestände vor der Verschlüsselung und drohen bei Nichtzahlung mit Veröffentlichung der Interna. Bei Zahlung des Lösegelds versprechen sie die Entschlüsselung lokaler und die Löschung exfiltrierter Daten – zwei Erpressungen zum Preis von einer.
Einen solchen „Schnäppchen-Deal“ meldete Reuters Ende Juli 2020: Der Reise-Management-Anbieter CWT, der über ein Drittel der Firmen aus dem US-Börsenindex S&P betreut, zahlte 4,5 Millionen Dollar an die Angreifer – die allerdings zunächst zehn Millionen gefordert hatten. Der Chat-Room der zugehörigen Kommunikation blieb online, sodass Reuters-Korrespondent Jack Stubbs auf Twitter einen interessanten Einblick in gelungene Lösegeldverhandlungen geben konnte – Forresters waren sicher angetan. Um diesem leuchtenden Vorbild zu gegebenem Anlass stilvoll nacheifern zu können, ist es ratsam, den nachfolgenden Ransomware-Ratgeber zu beachten:
1. „Pünktlichkeit ist die Höflichkeit der Könige“, das wusste schon Louis XVIII. In dieser Tugend üben sich distinguierte Geschäftsleute insbesondere dann, wenn eine Ransomware-Nachricht eine knallhartes Ultimatum setzt. Abgedroschene Ausreden wie „Sorry, mein vorheriges Zoom-Meeting hat etwas länger gedauert“ sind hier fehl am Platze. Geübte Verhandler fragen früh nach den Geschäftszeiten der erpressenden Organisation – das schafft eine entspannte Atmosphäre, denn auch der Cyberkriminelle will schließlich nach Feierabend heim zu Frau und Kind.
2. Bei Ransomware-Konversationen bemüht sich der kosmopolitische Erpresste um den routiniert-freundlichen Tonfall alltäglicher Business-Transaktionen. Mürrisches oder moralisierendes Auftreten ist verpönt, könnte es doch beim Gegenüber anfängliches Wohlwollen trüben oder gar eine robustere Verhandlungsweise provozieren. Von einer Einladung zu einem persönlichen Treffen ist allerdings abzuraten: Obschon von Ihnen sicher nur als Möglichkeit gedacht, sich in gepflegtem Ambiente näher kennenzulernen, könnte der Erpresser hier stillose Anbiederung wittern und unwirsch reagieren.
3. Zwar meiden die distinguierte Dame und der nicht minder distinguierte Herr den Basar, doch hier gilt: Schrecken Sie nicht vor dem Feilschen zurück! Schließlich geht es darum, zum Wohle Ihres Unternehmens und der Belegschaft den wirtschaftlichen Schaden möglichst zu begrenzen. Nutzen Sie also ruhig die Erfahrungen aus Verhandlungen mit Ihren eigenen Lieferanten, die sie – natürlich nonchalant und wohlformuliert – Jahr für Jahr zu Preisnachlässen von zehn oder mehr Prozent nötigen.
4. Als Amtssprache bei der Erpressung multinationaler Unternehmen ist das Englische en vogue. Manch ein Cyberkrimineller weist jedoch einen erkennbar nicht-englischsprachigen Hintergrund auf. Hier gilt es als politisch inkorrekt, Wortschatz- und Grammatikmängel des Gegenübers zu rügen. Über Formulierungen wie „Pay $10.000.000 in Bitcoins, before timer on main page will ends“ sehen Sie als Erpresster mit guter Kinderstube also geflissentlich hinweg – erst recht als Deutscher, der in puncto Business-Englisch und „th“-Aussprache auch nicht wirklich sattelfest ist.
5. Last but not least ist da natürlich noch die Frage der Kleidung. Smart Casual lassen viele Modekenner gerade noch durchgehen, doch manche rügen alles jenseits von Anzug und Krawatte gemäß dem Motto: „Dress for the ransomware talks you want, not the ransomware talks you have!“ Als unschicklich, da zu ironiebehaftet erachten Kriminaletikettologen das Tragen von Security-Konferenz-T-Shirts mit Aufschriften wie etwa „DefCon 2019“. Auf der Erpresserseite wiederum lautet das Couture-Motto: „Erlaubt ist, was gefällt“ – schwarze Hoodies allerdings empfinden weltgewandte Cyberkriminelle als abgeschmackt und „viel zu 1980er“.
Bei einem Ransomware-Angriff steht die Höhe des Lösegelds dem Umfang potenzieller Schäden durch Geschäftsausfall, Wiederherstellung der IT und Strafzahlungen wegen Compliance-Mängeln gegenüber. Deshalb sollte man bei entsprechenden Verhandlungen danach streben, in gepflegter Runde eine Win-Win-Situation zu erarbeiten. Wie sagte schon Adolph Freiherr von Knigge, der Tonmeister des guten Tons: „Die Kunst des Umgangs mit Menschen besteht darin, sich geltend zu machen, ohne andere unerlaubt zurückzudrängen.“ Schließlich kann es sein, dass man künftig weiter Geschäfte miteinander machen will – vielleicht erneut anlässlich von Ransomware, vielleicht bei der nächsten Cybercrime-Modewelle.
(Dieser Text erschien erstmal im Jahr 2020 auf meinem damaligen Blog.)
Bild: (c) Wolfgang Traub
IT Info 2 Go 
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.