Warum Cyberkriminelle immer häufiger Portfoliounternehmen angreifen

Die Taschen der an einer Transaktion beteiligten Unternehmen sind in der Regel tief, so die simple Logik der Angreifer, und die potenziell erzielbaren Lösegelder liegen im Bereich von einer Million Euro oder höher. Es ist darüber hinaus kein Geheimnis, dass Unternehmen mittlerer Größe oftmals nicht gut geschützt sind, da es häufig kein dediziertes Personal für IT-Sicherheit gibt oder die finanziellen und technischen Ressourcen begrenzt sind.

Zur Wahrheit gehört auch: In Vorbereitung eines Deals schaut mancher Verkäufer bei allem, was Kosten verursacht, zu genau hin. Auf diese Weise bleiben Maßnahmen zur technischen und operativen Verbesserung der Cybersicherheit oft auf der Strecke, zumal sich der positive Effekt auf den Unternehmenswert kurzfristig nicht materialisieren wird.

Siebenstellige Lösegeldforderungen 

Zur Vorbereitung eines Angriffs suchen die Täter von außen gezielt nach Schwachstellen, mit deren Hilfe sie direkten Zugang zu den IT-Systemen bekommen. Alternativ verschaffen sie sich diesen zum Beispiel durch einen mit Schadsoftware versehenen E-Mail-Anhang. Es reicht schon ein einziger Nutzer, der einen manipulierten Anhang öffnet.

Nach erfolgreicher Infiltration beginnt die Verschlüsselung der Daten, typischerweise an einem Freitagabend, damit der Angriff möglichst lange unerkannt bleibt. Das böse Erwachen für das betroffene Unternehmen erfolgt dann meist an einem Montagmorgen: Die IT-Systeme funktionieren nicht mehr, Dokumente lassen sich nicht mehr öffnen und die Kommunikation ist lahmgelegt. Gleichzeitig geht eine Lösegeldforderung ein.

Was wie eine kriminelle Masche klingt, ist in Wahrheit ein international arbeitsteilig organisiertes Geschäftsmodell. Zum Teil existieren sogar „Partnerprogramme“, über die der Zugang zu Tools und Schadsoftware mit monatlichen Zahlungen (wie bei einem Software-as-a-Service-Geschäftsmodell) vergütet wird.

2021 betrugen die Forderungen im Durchschnitt 570.000 US-Dollar. Bei für Private-Equity-Investoren typischen Übernahmekandidaten oder Portfoliounternehmen kann man laut Wall Street Journal von einem Betrag von knapp über einer Million US-Dollar ausgehen. 

In zahlreichen Fällen bleibt es nicht bei der Verschlüsselung der Daten, sondern es wird zusätzlich mit der Veröffentlichung sensibler Informationen (zum Beispiel Kundendaten, geistiges Eigentum) gedroht, die die Täter erbeutet haben. Experten nennen das „Double Extortion“. Weil sich bestimmte Daten (Kontaktdetails von Kunden oder – noch schlimmer – Zahlungsinformationen) gut verkaufen lassen, stellt dies sogar noch eine weitere potenzielle Einnahmequelle für die Kriminellen dar.

Wer zahlt, finanziert das organisierte Verbrechen

Experten empfehlen, grundsätzlich keine Lösegelder zu zahlen. Der Grund: Mitunter erhöht der Erfolg die Motivation, direkt im Anschluss weitere Angriffsversuche zu starten, entweder bei anderen Unternehmen innerhalb des Portfolios oder noch einmal beim gleichen Unternehmen.

Im Übrigen ist eine Entschlüsselung der Daten keinesfalls garantiert. Im Gegenteil: Dem IT-Analysten Gartner zufolge gelingt eine vollständige Widerherstellung der Daten nur in 8 Prozent aller Fälle. Im Durchschnitt werden demnach lediglich 65 Prozent der Daten wiederhergestellt. Häufig ist die von den Angreifern für die Entschlüsselung zur Verfügung gestellte Software außerdem unbrauchbar und macht professionelle Hilfe zwingend erforderlich.

Auch unabhängig von dieser Überlegung sollte von Lösegeldzahlungen abgesehen werden, schließlich handelt es sich dabei schlicht um die Finanzierung des organisierten Verbrechens. Zudem spielen geostrategische Überlegungen eine Rolle. Man muss es offen sagen: Viele kriminelle Akteure operieren in Ländern, die solche Aktivitäten stillschweigend dulden – oder sogar die Auftraggeber sind. So kann etwa im Fall von Nordkorea fest davon ausgegangen werden, dass mit Einnahmen aus Cyberangriffen unter anderem das Atomprogramm finanziert wird.

Der eigentliche Schaden beträgt ein Vielfaches der Lösegeldforderung

Im Falle eines Cyberangriffs sollte es dem betroffenen Unternehmen jedoch nicht primär um die Vermeidung einer Lösegeldzahlung gehen, sondern um die Vermeidung der damit verbundenen Geschäftsunterbrechung und möglicher Folgeschäden. Denn insgesamt kann der aus einem erfolgreichen Ransomware-Angriff resultierende Schaden ein Vielfaches der Lösegeldforderung betragen. Häufig ist er drei- bis fünfmal so hoch, in extremen Fällen wird dieser Wert noch deutlich überschritten. Der Gesamtschaden setzt sich wie folgt zusammen:

Bei Cyber wird zu selten genau hingeschaut

Leider wird der Bereich Cybersicherheit bei vielen Transaktionen überhaupt nicht berücksichtigt. Um genau zu sein: Bei weniger als 10 Prozent aller Deals wird er geprüft. Hingegen haben es 65 Prozent aller Unternehmen schon einmal bereut, eine Transaktion trotz Bedenken im Hinblick auf Cybersicherheit abgeschlossen zu haben. 73 Prozent sehen in einem Datenverlust einen sofortigen Dealbreaker.

Verfahren bei US-Bundesgerichten wie auch bei europäischen Datenschutzbehörden haben längst deutlich gemacht, dass es als fahrlässig angesehen wird, wenn die Sicherheitslage und die Einhaltung des Datenschutzes bei einer Akquisition nicht ordnungsgemäß geprüft werden.

Leider ist die europäische Datenschutz-Grundverordnung nicht sehr aussagekräftig, was konkrete Anforderungen anbelangt. So fordert Artikel 32 ein „angemessenes Schutzniveau“ sowie die „Fähigkeit, die Verfügbarkeit der personenbezogenen Daten […] bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“. Mit zweifelhaften Zitaten wie „Wir hatten noch keinen Data Breach“ über „Wir wurden noch nicht angegriffen“ bis hin zu „Ich kann sagen, dass wir compliant sind“ versucht man, das Thema schnell wegzudiskutieren.

Hinzu kommt die Tatsache, dass datengetriebene Geschäftsmodelle, geistiges Eigentum und Technologie zunehmend in den Fokus von Transaktionen geraten. Dieser Trend gepaart mit den immer höheren Cybersicherheits- und Datenschutzrisiken macht eine Cyber Due Diligence essenziell. 

Cybersicherheit separat denken

Dabei gilt: Cyber- oder besser Informationssicherheit ist grundsätzlich nicht die alleinige Aufgabe der IT. Die wichtigste Aufgabe eines Informationssicherheitsbeauftragten, häufig auch CISO (Chief Information Security Officer), ist das Risikomanagement und nicht die Konfiguration der Firewall.

In erster Linie sollten grundlegende Strategien entwickelt werden, um Cyberrisiken – wie etwa die Gefahr eines Ransomware-Angriffs – zu begrenzen und vor allem die Compliance mit regulatorischen Anforderungen sicherzustellen. Einfache Check-the-Box-Fragen (zum Beispiel Firewall Ja/Nein, Backup Ja/Nein) als Teil der IT Due Diligence reichen hierfür nicht aus.

Die folgenden Aspekte sind im Rahmen einer Due Diligence im Kontext der Cybersicherheit relevant:

• Einbeziehung von Experten für Cybersicherheit mit Transaktionserfahrung
• guter Zugang zum Management des angenommenen Zielunternehmens oder zu den Verantwortlichen für Informationssicherheit
• ein mindestens eine Stunde (besser zwei) dauerndes Interview exklusiv zu Cybersicherheit
• Erarbeitung einer spezifischen Bedrohungslage für das angenommene Zielunternehmen und Analyse begünstigender Faktoren (geografische Aspekte, Regulatorik, branchenübliche Gefahren, Risiko durch Dritte, Internetkonnektivität und Netzwerkstruktur)
• fragenbasierte Prüfung der Cybersecurity Controls (von Risikomanagement über Sicherheitstrainings bis hin zu IT Security Controls wie Firewalls)
• Sammeln frei zugänglicher Daten zu potenziellen Schwachstellen und Bedrohungen (zum Beispiel Konfigurationsfehler frei zugänglicher Server, E-Mail-Adressen und Passwörter des Managements im Darknet)
• möglichst vollständiger Überblick über die identifizierten Cyberrisiken, inklusive Priorisierung der unmittelbar notwendigen Maßnahmen und Analyse des damit verbundenen Aufwands

Vierblättrige Kleeblätter als letzte Alternative?

Am Ende einer solchen Due Diligence sollte klar sein, welche Risiken (unbedingt) begrenzt werden müssen und welche finanziellen Einmaleffekte oder laufenden Kosten damit verbunden sind. Schon ein einziger Mitarbeiter für Cybersicherheit sowie zusätzlich eingekaufte Dienstleistungen können bei einem mittelgroßen Unternehmen schnell Kosten von 300.000 Euro oder mehr verursachen. Ebenso sollte mit Einmaleffekten gerechnet werden. Auch hier sind Beträge im mittleren sechsstelligen Bereich keine Ausnahme. Noch teurer wird es allerdings, wenn der Schadensfall eintritt. Ansonsten bleibt als letzte Alternative: Möglichst viele vierblättrige Kleeblätter sammeln!