Ein Mann trägt Handschuhe und tippt auf einer Tastatur.  (Foto: dpa Bildfunk, picture alliance/dpa | Nicolas Armer)

Interview mit dem IT-Sicherheitsexperten Sebastian Koye

„Bei Hackerangriffen verhandeln wir wie auf dem Markt“

STAND
AUTOR/IN

Für kriminelle Hacker sind Attacken auf die Wirtschaft lukrativ. Einer, der Unternehmen hilft, ist Sebastian Koye. Der IT-Spezialist betreibt die Freiburger Datenschutzklinik.

Cyberangriffe sind mittlerweile zu einem richtigen Geschäftsmodell geworden. Vorbei sind die Zeiten, in denen Mails auf schlechtem Deutsch an Unternehmen verschickt werden. Das "Business Cyberangriffe" wurde stark professionalisiert. Das führt auch dazu, dass Firmen vermehrt ganz gezielt von Hackern ausgewählt werden. Einer, der hier schon häufiger mit Hackern Lösegeldverhandlungen geführt hat, ist Sebastian Koye. Der IT-Spezialist betreibt die Freiburger Datenschutzklinik, das Unternehmen kümmert sich um Datenschutz und Informationssicherheit. Hier erzählt Koye SWR-Wirtschaftsredakteur Tobias Frey, wie er mit Cyberangriffen umgeht und wie betroffene Unternehmen sich verhalten können.

Wenn ein Unternehmen Opfer eines Cyberangriffs wurde, dann kommt es mittlerweile sehr häufig zu Lösegeld-Forderungen. Wie können wir uns solche Gespräche mit den Hackern vorstellen?

Das sind weniger Gespräche, das sind eher E-Mail-Konversationen, Verhandlungen also, die über E-Mail geführt werden, weil sie entsprechend anonymisiert werden können. Zumal die Hacker versuchen, ihren Ort zu verschleiern. Aber auch wir bevorzugen, wenn wir mit Hackern in Verhandlungen treten müssen, den E-Mail-Verkehr. Weil wir hier auch etwas Zeit schinden können - im Sinne der Opfer.

Inwiefern schinden Sie bei ihren Verhandlungen Zeit?

In den Verhandlungen geht es oft um die Höhe des Lösegeldes. Dabei kommt es immer darauf an, welche Art von Cyberangriff vorliegt. Nehmen wir beispielsweise die breite Masse der Verschlüsselungstrojaner. Da gibt es Lösegeldforderungen vom oberen vierstelligen Bereich bis zum unteren sechsstelligen Bereich. Uns kommt zugute, dass die Angreifer meistens jedoch nicht genau wissen, wen sie da genau vor sich haben.

- Tasten einer beleuchteten Tastatur. (Aufnahme mit Zoomeffekt).  (Foto: dpa Bildfunk, picture alliance/dpa | Sebastian Gollnow)
In Deutschland waren einer Umfrage des Branchenverbands Bitkom zufolge bereits im Vorkrisenjahr 2019 drei Viertel aller Unternehmen von Cyberattacken mit dem Ziel von Datendiebstahl, Industriespionage oder Sabotage betroffen. picture alliance/dpa | Sebastian Gollnow

Wenn Sie jetzt beispielsweise eine kleine Werbeagentur mit sechs Mitarbeitenden nehmen, die auf einmal um 80.000 Euro erleichtert werden soll, dann ist das der Moment, in dem wir mit einsteigen und sagen: Okay, wir verhandeln jetzt mit den Erpressern und versuchen das runterzuhandeln. Und dabei hilft uns die Zeit. Denn wir schauen währenddessen natürlich auch, ob wir die Möglichkeit haben, auch auf andere Art und Weise an die Daten heranzukommen mit denen das Unternehmen erpresst wird. In solch einem Fall wird schon richtig verhandelt und gefeilscht mit den Hackern, um das Lösegeld zu drücken. Das ist fast wie auf einem Basar oder Markt.

Haben die Unternehmen denn eine Garantie dafür, dass die Hacker die Daten auch wirklich wieder zur Verfügung stellen? Oder nehmen die einfach das Lösegeld und sind weg….

Aus unserer Erfahrung bekommen die Unternehmen in 65 Prozent der Fälle ihre Daten nicht wieder. Dann müssen sie doch ein Spezialunternehmen damit beauftragen, ihre Daten wiederherzustellen. Daher raten wir zur Schadensvermeidung immer und sehr eindringlich dazu, dass Unternehmen bereits im Vorfeld in ihre Datensicherung investieren. Etwa in Strategien, mit denen sie in solchen Fällen schnell wieder handlungsfähig sind. In dem Moment, wo ich als Unternehmen bezahle, zeige ich den Erpressern schließlich auch: Die Masche funktioniert, und ermuntere damit im Zweifel noch andere oder Trittbrettfahrer.

SWR2 Geld, Markt, Meinung Die Gefahr aus dem Netz – Cyberangriffe auf die Wirtschaft

Immer mehr deutsche Unternehmen stehen im Fokus von Cyberkriminellen, die Zahl der Hackerangriffe steigt jedes Jahr drastisch an. Die Täter gehen dabei immer raffinierter vor und nutzen sogar Stimmenimitationen, um Geld und Daten zu erbeuten. In der Corona-Pandemie steigt außerdem für Arbeitnehmer im Homeoffice das Risiko, Opfer von Cyberattacken zu werden.  mehr...

SWR2 Geld, Markt, Meinung SWR2

Was raten Sie Unternehmen: Sollten diese auf Forderungen der Cyberkriminellen eingehen und Lösegeld bezahlen, oder eher nicht?

Das ist eine schwierige Abwägung. Vom Grunde her aber eher: Nein. Nehmen wir ein Unternehmen, das eine Datensicherung hat. Da ist die Entscheidung relativ einfach, denn hier verliert das Unternehmen in der Regel maximal ein, zwei Tage, um alles wieder herzustellen.

Schwieriger wird es bei den Unternehmen, die keine ausreichende Datensicherung besitzen. Diese müssen wir oft vor die Wahl stellen: Entweder bezahlen wir jetzt etwa 8.000 Euro als Lösegeld, oder 20.000 Euro für eine Datenrettung. Das sind die Summen, mit denen man rechnen muss, weil die Datenrettungs-Labore natürlich hochspezialisiert sind. Die Frage, die noch offen bleibt, wenn das Unternehmen sich für die Lösegeld-Variante entscheidet ist aber eben, ob die Daten von den Erpressern tatsächlich wieder hergestellt werden.

Wir raten von Lösegeldzahlungen eher ab. Aber das ist, wenn Sie es vergleichen wollen, wie mit einer Entführung. Versuchen sie, den Eltern von einem entführten Kind klarzumachen: Zahlt das Lösegeld nicht, wir finden das Kind wieder. Das kriegen sie kaum hin.

SWR2 Geld, Markt, Meinung Die Gefahr aus dem Netz – Cyberangriffe auf die Wirtschaft

Immer mehr deutsche Unternehmen stehen im Fokus von Cyberkriminellen, die Zahl der Hackerangriffe steigt jedes Jahr drastisch an. Die Täter gehen dabei immer raffinierter vor und nutzen sogar Stimmenimitationen, um Geld und Daten zu erbeuten. In der Corona-Pandemie steigt außerdem für Arbeitnehmer im Homeoffice das Risiko, Opfer von Cyberattacken zu werden.  mehr...

SWR2 Geld, Markt, Meinung SWR2

Der Cyberbunker in Traben-Trarbach Als das Darknet an die Mittelmosel kam

In Traben-Trarbach an der Mittelmosel gibt es Wein, ein dekoratives Brückentor, ein Buddha-Museum, eine Therme. Es gibt außerdem einen alten Bundeswehr-Bunker, der zum Zentrum einer der größten Cybercrimefälle Deutschlands wurde. Alles begann 2013.  mehr...

Digitaler Angriff Digitaler Angriff - Gehackte Industrieanlagen

Industrieanlagen, die über das Internet vernetzt sind und aus der Ferne gesteuert und gewartet werden, sind besonders gefährdet. Hacker-Angriffe auf solche Betriebe sind fatal.  mehr...

STAND
AUTOR/IN