Cyber-Erpresser wenden oft intelligente Methoden an, um an Geld zu kommen. Typischerweise liegt die Geldsumme, die gefordert wird, relativ niedrig und klar unter dem ökonomischen Limit für die Abwehr des Angriffs. Anders gesagt: Für das betroffene Unternehmen zahlt sich ein Kampf nicht aus.
Auch wenn es selten bekannt wird: Es wurde schon oft von erpressten Unternehmen Lösegeld bezahlt. Für das einzelne Unternehmen ist es verständlicherweise völlig unrentabel, sich solidarisch mit potenziellen künftigen Erpressungsopfern zu verhalten. Die Praxis ist aber nicht nur gesamtwirtschaftlich schädlich, sondern biete auch für die Betroffenen der Schutzgelderpressung mitnichten den gewünschten Schutz. Eine Zahlung bleibt in der Halbwelt nicht unbedingt geheim.
Häufig attackierten andere Hacker als Trittbrettfahrer die bereits erpressten Unternehmen. So erging es auch ProtonMail, einem Unternehmen, das einen Service bietet, mit dem man verschlüsselte E-Mails verschicken kann. Erst zwei Jahre alt, aber bereits mit einer halben Million Nutzer, wurde es im Herbst vergangenen Jahres Opfer eines Cyberangriffs. In seinem Blog steht zu lesen: „Wir hofften, dass wir durch die Zahlung anderen Unternehmen, die von der Attacke auf uns betroffen waren, Schonung verschaffen könnten, aber die Attacken gingen weiter. Dies war eine eindeutig falsche Entscheidung, lassen Sie uns daher klar an alle künftigen Angreifer sagen: ProtonMail wird nie wieder eine weitere Lösegeldzahlung leisten.“
Die andere Seite der Lösegeldzahlung
Es gibt auch einen anderen Aspekt bei der Zahlung von Lösegeldern: Bei spektakulären Entführungen versucht man ja auch, bei der Geldübergabe zuzuschlagen. Und so lassen sich auch Stimmen bei Ermittlungsbehörden vernehmen, dass es manchmal sinnvoll sei, gefordertes Geld zu bezahlen. Denn oft ist es so einfacher, die Verursacher auszuforschen, indem die Ermittler dem Pfad des Geldes folgen.
Autor: Als CEO und General Manager EMEA von Barracuda Networks trägt Wieland Alge die Gesamtverantwortung für die Geschäfte von Barracuda Networks in der Region Europa, Naher Osten und Afrika. Zuvor war er CEO und Mitbegründer von phion, das im Jahr 2009 mit Barracuda Networks fusionierte. Durch seine langjährige Erfahrung in der Konzeption und Implementierung von internationalen Security-Projekten verfügt Alge auch über weitreichende Kenntnisse im Anwenderbereich. Als Expertenmitglied des Datenschutzrats berät Dr. Alge die österreichische Bundesregierung in Fragen des Datenschutzes. Nach seiner Promotion zum Doktor der Naturwissenschaften war Wieland Alge als Lehrbeauftragter und wissenschaftlicher Mitarbeiter am Institut für Theoretische Physik der Universität Innsbruck tätig. 2008 erhielt er die Auszeichnung “Entrepreneur of the Year” von Ernst & Young.