Verschlüsselungstrojaner: Lösegeld zahlen oder nicht zahlen?

Verschlüsselungs­troja­ner wie Tesla­Crypt, Locky oder Crypto­wall haben seit 2015 Hoch­kon­junk­tur. In 2015 hatten laut einer Stu­die von iSense 3,1 Millionen Deutsche mit den Com­puter­schäd­lingen zu käm­pfen, die nach einem Be­fall Dateien auf Compu­tern verschlüs­seln. Wer wie­der an die Daten heran­kommen will, muss gemäß dem Er­presser­schrei­ben, das einem auf dem Bild­schirm ange­zeigt wird, eine Löse­geld­forde­rung zah­len. Diese liegt häufig bei etwa einem Bitcoin (aktuell 540 Euro), kann jedoch auch deut­lich höher aus­fallen: Im Febru­ar dieses Jahres hat ein Kran­ken­haus in Holly­wood 40 Bitcoins (zu dem Zeitpunkt etwa 15.000 Euro) gezahlt, um die Löse­geld­forde­rung zu erfüllen. Laut der iSense-Studie gehen 50 % aller Ameri­kaner, die von einem Krypto­troja­ner befal­len wurden, auf die Erpresser­forderun­gen ein; in Deutsch­land sind dies 33 %.

Die Frage, ob man bei einem Befall zahlen soll oder nicht, kann nicht ein­fach beant­wor­tet werden und hängt jeweils vom Einzel­fall ab. Auf eine Löse­geld­forde­rung nach einer Infek­tion durch einen Tro­janer einzu­gehen hat Für und Wider. Betrof­fene soll­ten sich deshalb fach­kundig bera­ten las­sen, um sich in einer kriti­schen Situa­tion nicht falsch zu verhal­ten.

Sichere Verschlüsselung

Ransomware verschlüs­selt Datei­en normaler­weise mit einem siche­ren Ver­fahren. Locky gibt an die Dateien mit RSA-2048 und AES-128 Ziffern zu verschlüs­seln. Krypto­gra­phisch betrach­tet gilt dieses Ver­fahren als sicher und kann mit heu­tiger Rechen­leis­tung nicht ge­brochen wer­den. Wessen Daten durch einen Krypto­tro­janer gefan­gen genom­men wur­den, kann also ohne den korrek­ten Schlüs­sel nicht darauf hoffen, in abseh­barer Zeit diese wieder unter seine Kon­trolle zu bringen.

Abwägung von monetären Werten

Je nach dem, wie kritisch die ver­schlüs­selten Daten sind und welche Aus­wirkun­gen die Infek­tion hat, können teure Aus­fälle ent­ste­hen. Betriebs­wirt­schaft­lich betrach­tet scheint die Ent­scheidung ein­fach: wem ein aus­gefal­lenes Sys­tem 10.000 Euro pro Tag kostet, welches durch Zah­lung der Löse­geld­forde­rung in Höhe von 540 Euro wieder in Gang gebracht werden könnte, der ist ver­leitet auf die Forde­rung einzu­gehen. Ebenso wird man das Löse­geld zahlen, wenn Gefahr für Leib und Leben be­steht - beispiels­weise bei Kranken­häusern, die in der heu­tigen Zeit ohne eine funk­tio­nie­rende IT nicht mehr ver­nünf­tig arbei­ten können.

Diese einfache, mone­täre Be­trach­tungs­weise darf jedoch nicht darüber hin­weg­täu­schen, dass die Ent­schei­dung von anderen wich­tigen Gründen beein­flusst wird. Diese rela­tivieren den rein mone­tären Ver­gleich und zeigen, dass die Ent­schei­dung kom­plexer ist.

Keine Garantie auf Herausgabe des Schlüssels

Geht man auf die Löse­geld­forde­rung ein, hat man Anspruch auf Heraus­gabe der Ent­schlüs­selungs­software! Nur was, wenn das nicht passiert? Eine Hot­line wird noch nicht von allen Krimi­nellen ange­boten (CryptXXX bietet das tatsächlich an) und die Heraus­gabe gerichtlich einzu­klagen steht offen­sichtlich nicht zur Debatte. Tatsäch­lich sind einige Fälle bekannt, in denen nach der Zah­lung entweder der Schlüssel nicht heraus­gegeben wurde oder dieser nicht zur Ent­schlüsselung ein­gesetzt werden konnte.

Nach­forde­rung oder Wieder­holung

Neben der Möglich­keit, dass der Schlüssel über­haupt nicht heraus­gegeben wird, können Krimi­nelle auch Nach­forde­rungen stellen, um die maxi­male Zahlungs­bereit­schaft abzu­schöpfen, oder den Angriff einfach wieder­holen. Häufig reagie­ren Opfer nicht oder nicht schnell genug, um die IT-Sicher­heit zu verbessern und das Bewusst­sein der Mitar­beiter zu schärfen. Des­halb sollte nach einem Vor­fall ein Exper­te zu Rate gezogen werden, um das IT-Sicherheits­niveau zu ver­bessern.

Zahlung vergrößert das eigene Risiko

Kriminelle sind unter­einander gut ver­netzt. Wer nach einer Infek­tion zahlt, ver­größert sein eigenes Risiko, da der­jenige offen­sichtlich ein interessan­tes Ziel darstellt. Andere Ver­sender von Krypto­trojanern könn­ten ebenso ihr Glück versuchen und das zahlungs­willige Opfer angreifen.

Förderung von Krimi­nalität

Neben der betriebs­wirtschaft­lichen Betrach­tung muss das Problem auch volks­wirtschaft­lich und lang­fristig betrach­tet werden. Zahlt man das Löse­geld, kann man in den meisten Fällen zwar seine Daten wieder­her­stellen. Allerdings fördert man damit Krimi­nelle, die mit dem Geld Tro­janer weiter verbessern und Infektions­wege perfek­tionieren. Auf die Löse­geld­forderung einzu­gehen vergrößert damit lang­fristig das Problem.

Zahlen, oder nicht?

Wer durch einen Krypto­trojaner infiziert wurde, hat drei Möglich­keiten:

1. Backups wieder­herstellen
2. Formatieren und damit alle Daten verlie­ren
3. Auf die Lösegeld­forderun­gen ein­gehen.

Für alle diejenigen, für die Option eins aus­scheidet, empfeh­len wir das Löse­geld nicht zu zahlen, wenn irgendwie möglich. Von allen Daten­trägern sollte eine 1:1-Kopie erstellt werden, falls zu einem späteren Zeit­punkt eine Schwach­stelle in der Ver­schlüsselung entdeckt wird oder Krimi­nelle den Schlüssel frei­willig heraus­geben. Anschlie­ßend wird der Original­daten­träger forma­tiert und ein neues, sicheres Sys­tem aufgebaut.

Wer jedoch unbe­dingt an die Daten wieder heran­kommen muss, dem bleibt nichts anderes übrig als das Geld zu zahlen und darauf zu hoffen, dass er den Schlüs­sel erhält, mit dem die Daten wieder­her­gestellt werden können. In jedem Fall sollten Vor­keh­rungen getroffen werden, damit sich solch eine Erfah­rung nicht wieder­holt.