Unternehmen werden häufig von Hackern attackiert. Speziell Ransomware ist für Treasury-Abteilungen ein Problem.

Marco Martins - stock.adobe.com

23.02.21
Software & IT

Erste Schritte nach Ransomware-Angriff

Bei einem Ransomware-Angriff herrscht Tohuwabohu in der Finanzabteilung. Diese fünf Fragen sollten Treasury-Spezialisten im Ernstfall beantworten können.

In den ersten Stunden und Tagen nach einer erfolgreichen Hacker-Attacke ist der Trubel groß. In den vergangenen Monaten traf der Erpressungstrojaner „Ransomware“ zahlreiche Konzerne – darunter der Medizinriese Fresenius oder der Aromenhersteller Symrise. Bei dieser Art des Angriffs verschlüsseln Hacker Teile der Unternehmenssysteme und geben sie erst gegen Zahlung eines Geldbetrags wieder frei.

Das Treasury ist in der Regel von einem Erpressungstrojaner getroffen und kann bei einer Vollverschlüsselung beispielsweise wichtige Überweisungen nicht wie gewohnt durchführen. Auch der Zugriff auf das Treasury Management System ist in manchen Fällen gestört. Eine gute Vorbereitung auf einen Ransomware-Angriff ist daher buchstäblich bares Geld wert. DerTreasurer hat mit der Unterstützung des gemeinnützigen Cybersicherheitsvereins G4C die für die Finanzabteilung wichtigsten Fragen in Bezug auf einen Ransomware-Angriff beantwortet.

Ransomware: Wie sieht gute Prävention im Treasury aus?

Laut der G4C-Experten ist es wichtig, dass das Treasury sicherstellt, dass es frühestmöglich informiert wird, wenn es zu einer Erpressungssituation kommt. Das klingt banal, doch eine Hacker-Attacke trifft womöglich zunächst ein Unternehmenssegment, das mit dem Treasury keine unmittelbaren Berührungspunkte hat. Doch auch dann gilt: Je früher die Treasury-Abteilung Bescheid weiß, desto besser. Eine gute Vernetzung im Unternehmen und ein reger Austausch mit anderen Abteilungen ist daher ratsam.

Generell sollten Treasurer abklären, wer im Ernstfall ihr Ansprechpartner im Unternehmen ist. Da auch die wichtigen Banking- und Zahlungssysteme von der Verschlüsselung betroffen sein können, rät der G4C dazu, im Vorfeld Notfallwege der Zahlungsabwicklung zu überlegen und zu vereinbaren. Im Notfall können Payments dann schnell veranlasst werden.

Zum Newsletter anmelden »

DerTreasurer Newsletter

Aktuelle Informationen und Einblicke in die Treasury-Welt

Zum Newsletter anmelden »

Sollte das Treasury Bitcoins vorhalten?

Oft fordern die Kriminellen die Zahlung in der Kryptowährung Bitcoin.  Dem G4C zufolge versuchen professionelle Ransomware-Tätergruppierungen indes in der Regel, ihre Erpressungsforderungen der Leistungsfähigkeit des angegriffenen Unternehmens anzupassen. Mit anderen Worten: Wer erfolgreicher ist, muss mehr zahlen. Das kann bei großen Unternehmen zu Zahlungsforderungen im deutlichen Millionen-Euro-Bereich führen.

Es ist nicht einfach, in kurzer Zeit so hohe Beträge in Kryptowährungen zu beschaffen. Ob es Sinn ergibt, für solche Fälle vorsorglich in Kryptowährungen vorzuhalten, muss jede Treasury-Abteilung für sich selbst beantworten. Vereinzelt findet das heute schon statt.

Ein Tipp des G4C: Treasury-Abteilungen sollten präventiv mit ihren Hausbanken sprechen. Es gebe einige deutsche Banken, die vorsorglich für solche Notfälle Kanäle mit etablierten Bitcoin-Börsen vorhalten können.

Wie verhandelt man mit Erpressern?

Unternehmen sollten jedoch zunächst klären, welche Alternativen es zur Zahlung der Erpressungsforderung gibt. Bei Ransomware könnte etwa ein getestetes Back-up der betroffenen Systeme vorhanden sein, mit dem sich Unternehmensprozesse relativ schnell wiederherstellen lassen. Das verbessert die Verhandlungsposition enorm.

Ein erster Ansatz für Verhandlungen mit den Erpressern kann daher sein, auf Zeit zu spielen, bis klar ist, dass das Back-up funktioniert. Damit wäre das Erpressungspotential weitgehend verpufft.

Als Ausrede könnte Treasury-Spezialisten etwa dienen, dass die Beschaffung der häufig von den Erpressern geforderten Kryptowährung Bitcoin schwierig sei. Denn tatsächlich sind bürokratische interne Prozeduren oder die Nichterreichbarkeit wesentlicher interner Entscheidungsträger in Unternehmen oft ein großes Hindernis.

Der G4C empfiehlt in jedem Fall, professionelle Hilfe hinzuzuziehen, zum Beispiel über die ZAC (Zentrale Ansprechstellen Cybercrime der Polizei für Wirtschaftsunternehmen) oder durch externe Berater. Das BSI führt etwa eine Liste etablierter und geprüfter sogenannter APT-Dienstleister („Advanced Persistent Threat“).

Sollten Treasurer auf die Erpressung eingehen?

Alle einschlägigen Cyber-Instanzen wie beispielsweise das BSI, Strafverfolgungsbehörden, Sicherheitsexperten und auch der G4C raten dringend davon ab, etwaige Cybercrime-Lösegelder zu bezahlen. Ein Eingehen auf Lösegeldforderungen können Hacker als Anzeichen für Erpressbarkeit werten, das Unternehmen rutscht dann künftig erst recht in den Fokus der Cyberkriminellen. Wenn Täter sensible Daten dauerhaft abgezapft haben, können sie das Unternehmen theoretisch jederzeit wieder erpressen.

Bei einem erfolgreichen Ransomware-Angriff mit Vollverschlüsselung auch aller Backups kann im Worst-Case allerdings die komplette Existenz des Unternehmens auf dem Spiel stehen, was den Druck enorm erhöht. Als Alternative zu einer kompletten Einstellung des Geschäftsbetriebs kann hier im Einzelfall die Zahlung einer Lösegeldforderung in Betracht gezogen werden, räumen auch Cyber-Security-Experten ein.

Generell seien die Ransomware-Angreifer recht zuverlässig, was die Entsperrung der Systeme angeht. Das hat einen einfachen Grund: Für viele Kriminelle sind Ransomware-Attacken ein echtes Geschäftsmodell geworden, sie haben ein gewisses „Reputationsinteresse“, dass ihre Recovery-Lösungen auch funktionieren. Die Chance für den Erfolgsfall beziffert der G4C auf 80 Prozent.

Wie läuft die Zahlungsabwicklung bei Ransomware?

Experten zufolge geben Cyberkriminelle üblicherweise jede nur mögliche Unterstützung zur Begleichung der Zahlungsforderungen. Gegebenenfalls erklären sie auch ganz ausführlich, wo und wie man sich Bitcoins beschaffen kann. So perfide es klingt: Letztlich ist es ihr Geschäftsmodell, an mangelnder Beratung soll die Zahlung nicht scheitern.

Eich[at]derTreasurer.de