Ransomware Verhandlungen

Die Spielregeln, die niemand offen ausspricht

Ransomware ist ein Geschäftsmodell für Hacker. Es geht nicht nur um Technik, sondern um Erpressung mit klarer wirtschaftlicher Logik. Genau deshalb reicht Technik allein im Ernstfall nicht aus. Betroffene Unternehmen befinden sich sehr schnell in einer geschäftskritischen Verhandlung unter erheblichem Zeitdruck. Behörden wie das FBI, CISA und das NCSC raten grundsätzlich davon ab, Lösegeld zu zahlen, da Zahlungen weitere Angriffe finanzieren, keine verlässliche Wiederherstellung garantieren und das Risiko zukünftiger Angriffe erhöhen [1].

Dennoch verhandeln Unternehmen. Der Grund liegt in einer einfachen Realität: Wenn Produktion, Vertrieb oder kritische Dienstleistungen stillstehen, wird aus einer Sicherheitsfrage eine wirtschaftliche Entscheidung. Was kostet mehr – der Ausfall oder das Lösegeld? Daten zeigen, dass ein erheblicher Anteil der Unternehmen zahlt und mehr als die Hälfte der Zahlenden den ursprünglichen Betrag reduzieren kann [2].

1. Die Realität: Ransomware ist ein Geschäft mit Preislogik

Analysen realer Verhandlungen zeigen ein klares Muster. Forderungen sind bewusst hoch angesetzt, Fristen sollen Druck erzeugen, und Verhandlungen sind von Anfang an eingeplant [3]. Die erste Forderung ist deshalb selten der Endpreis. Viele Unternehmen zahlen am Ende deutlich weniger als ursprünglich verlangt [2].

Ein weiterer Punkt: Verhandlungen dauern oft länger als erwartet. Wer versucht, den Preis zu drücken oder Beweise einzufordern, muss damit rechnen, dass sich der Prozess über Tage oder sogar Wochen zieht. Zentrale Erkenntnisse aus dieser Phase:

  • Die erste Forderung ist ein Einstieg in die Verhandlung, nicht der finale Preis
  • Fristen sind oft Druckmittel und werden in der Praxis verlängert
  • Angreifer nutzen alle Informationen, die sie über das Unternehmen haben

2. Die Hebel in der Verhandlung: Was Unternehmen oft zu spät verstehen

Die wichtigste Regel lautet: Nicht in Panik reagieren. Zeitdruck ist Teil der Strategie der Angreifer [1]. Genau in diesem Moment werden oft die teuersten Fehler gemacht, weil Entscheidungen unter Druck und ohne vollständige Informationen getroffen werden. Wer es schafft, kurz innezuhalten und strukturiert vorzugehen, verschafft sich einen entscheidenden Vorteil. Es geht nicht darum, Zeit zu verlieren, sondern die Kontrolle über die Situation zurückzugewinnen. Daraus ergeben sich einige konkrete Tipps:

  1. Erst alle Alternativen prüfen: Bevor überhaupt über eine Zahlung nachgedacht wird…
  2. Beweis verlangen, bevor man verhandelt: Fordere aktiv einen Entschlüsselungsnachweis an…
  3. So wenig wie möglich preisgeben: Jede Information kann gegen dich verwendet werden…
  4. Zahlung ist kein „Reset“: Eine Zahlung beendet den Vorfall nicht…
  5. Datenleck separat betrachten: Selbst nach einer Zahlung gibt es keine Garantie…

Ein zusätzlicher Blick auf den Markt zeigt: Trotz steigender Angriffe liegt das tatsächliche Zahlungsvolumen weiterhin im hohen dreistelligen Millionenbereich pro Jahr. Das deutet darauf hin, dass mehr Unternehmen nicht zahlen oder Beträge drücken [4].

3. Die operative Seite: Zahlung, Bitcoin und Polizei

Das bedeutet konkret:

  • Kauf der Kryptowährung über einen Anbieter
  • Übertragung in ein Wallet
  • Zahlung an die Adresse der Angreifer

Dieser Prozess kann Zeit kosten und wird oft von spezialisierten Dienstleistern begleitet. Zahlungen in Kryptowährungen wie Bitcoin sind außerdem nicht unsichtbar. Transaktionen sind öffentlich nachvollziehbar, da sie in einer Blockchain gespeichert werden. Ermittlungsbehörden können diese Geldflüsse analysieren und in Einzelfällen Gelder sichern. Ein bekanntes Beispiel ist die teilweise Rückholung der Zahlung nach dem Colonial Pipeline ransomware attack [5].

Gleichzeitig ist diese Transparenz auch den Angreifern bewusst. Entsprechend nutzen viele Gruppen gezielt Techniken, um Geldflüsse zu verschleiern. Dazu gehören sogenannte Mixing- oder Tumbling-Services, die Transaktionen bündeln und über neue Adressen auszahlen, um die Herkunft zu verschleiern. Beispiele aus Ermittlungen sind Dienste wie ChipMixer, Blender.io oder Sinbad, die gezielt zur Verschleierung von Ransomware-Zahlungen eingesetzt wurden [5].

Wichtige Einordnung:

  • Nachverfolgen heißt nicht automatisch Geld zurückbekommen
  • Täter nutzen gezielt Verschleierungstechniken
  • Ermittlungen sind oft international und komplex

Für den Ernstfall bedeutet das:

  • Frühzeitig Behörden einbinden
  • Rechtliche Risiken vor einer Zahlung prüfen
  • Den Kauf von Kryptowährungen realistisch einplanen
  • Zahlung nicht mit Problemlösung verwechseln

Fazit

Die strategisch richtige Haltung bleibt: nicht zahlen. Genau das empfehlen Behörden weltweit. Die Realität ist jedoch komplex. Unternehmen verhandeln, weil der Schaden sonst existenzbedrohend sein kann.
Die wichtigste Erkenntnis: Die Verhandlung beginnt nicht erst im Chat mit dem Angreifer. Sie beginnt lange vorher – mit Vorbereitung. Wer vorbereitet ist, hat Optionen. Wer es nicht ist, zahlt oft mehr als nötig oder trifft schlechte Entscheidungen unter Druck.

Quellen

  1. NCSC und FBI Guidance zu Ransomware-Zahlungen und Risiken
  2. Sophos Ransomware Report zu Verhandlungen und Zahlungsreduktionen
  3. Reale Ransomware-Verhandlungsverläufe
  4. Chainalysis Crypto Crime Report
  5. FATF Report und US DOJ Fall Colonial Pipeline
Zurück
Bitte versuchen Sie es erneut.
Anti-Spam-Schutz
Bitte klicken Sie hier um zu bestätigen, dass Sie kein Robot sind.
Der Anti-Spam-Schutz konnte Sie erfolgreich verifizieren.
Danke, Sie können nun das Formular abschicken.
Bitte erlauben Sie aus Sicherheitsgründen Cookies für diese Website um das Formular zu nutzen.