Multimedia
Lösegeld-Zahlungen können für Firmen "verheerend" sein
Comparis hat nach einem Hack Lösegeld bezahlt. Das machen viele Firmen, die keinen Ausweg mehr sehen. Doch es drohen weitere Angriffe.
Nun also doch: Nach einem Erpressungs-Angriff mit einem Trojaner hat Comparis Lösegeld bezahlt. Als der Angriff publik wurde, ließ der Vergleichsdienst noch verlauten, dass man auf die Forderungen der Hackerinnen und Hacker von 400.000 Dollar Lösegeld nicht eingehen wolle. Jetzt folgt die Kehrtwende. Ob der volle geforderte Betrag bezahlt wurde, ist aber nicht bekannt.
Mit der Kommunikation über die Zahlung wolle Comparis seine Kundinnen und Kunden weiterhin transparent informieren, heißt es auf Anfrage. Das ist ungewöhnlich. "Öffentlich zu Zahlungen zu stehen, ist eher selten", sagt Bernhard Hämmerli, Leiter des Studiengangs Information und Cyber Security an der Hochschule Luzern, zu "20 Minuten".
Comparis musste ehrlich sein
Durch die Transparenz von Comparis vor der Zahlung, habe es aber keine andere Möglichkeit mehr gegeben, als ehrlich zu sein. "Transparente Kommunikation ist notwendig, wenn Kundinnen und Kunden sowie Partnerinnen und Partner ebenfalls betroffen sind", sagt Hämmerli. Andernfalls könnten Haftungsfragen aufkommen. Der Experte lobt auch die offene Kommunikation der Firma.
Auch Kundendaten betroffen
Zunächst hatte es geheissen, dass Kundendaten nicht von der Attacke betroffen seien. Comparis teilte später in einer Medienmitteilung mit, dass es «vermutlich» auch zum Diebstahl von Daten kam: «Die User von Comparis und deren Schwestergesellschaften werden aktuell über einen allfälligen unrechtmässigen Zugang zu kundenbezogenen Daten direkt informiert.» Das Risiko einer kriminellen Verwendung der Daten werde allerdings als gering eingeschätzt.
Das nationale Zentrum für Cybersicherheit (NCSC) rät grundsätzlich von Zahlungen ab. Denn es gebe keine Garantie, dass die Daten nach der Zahlung wiederhergestellt werden könnten. "Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung", sagt Max Klaus, stellvertretender Leiter Operative Cybersicherheit beim NCSC.
Auch der HSLU-Experte hält die Zahlung für gefährlich. Damit erhalte man zwar Zugriff auf seine Daten, aber lande auch in der Kundenliste des Hackers. "Dieser Eintrag könnte verheerend sein", sagt Hämmerli. Es drohten weitere Angriffe, "außer man macht die Hausaufgaben, so dass man nie wieder in diese Situation kommen kann".
Die Angriffe können alle treffen
Das nationale Zentrum für Cybersicherheit (NCSC) kennt einige Fälle, in denen Firmen ebenfalls Lösegeld bezahlt haben, wie es auf Anfrage heißt. Eine Meldepflicht für Cybervorfälle gibt es jedoch nicht.
HSLU-Experte Hämmerli erklärt, warum Firmen trotzdem zahlen: In einigen Fällen sei die Zahlung überlebenswichtig für die Firma, wenn die Systeme blockiert sind. Und weil nur wenige Firmen die Zahlung zugeben würden, sei die Dunkelziffer sehr hoch.
Wichtig sei, dass eine Firma schon im Vorfeld eines Angriffs die richtigen Prozesse für den Ernstfall definiere. Denn es könne jeden treffen. "Heute kann wohl kaum ein Betrieb sagen, dass er noch nie einen Sicherheitsvorfall hatte", sagt Hämmerli. Deshalb sei der Imageschaden für Comparis wohl nicht so groß, weil es bald die nächste Firma treffen könnte.
Comparis habe denn auch Sicherheitsvorkehrungen getroffen, so habe die Firma etwa Backups für wesentliche Teile der Daten erstellt, sagt Hämmerli. Er vermutet aber, dass spezielle Files vergessen wurden. "In dem Fall hätten Krisenübungen aufzeigen können, was fehlt und wie man sich besser schützen könnte."