Der Tech-Konzern Garmin wurde Opfer eines Ransomware-Angriffs, der Dateien verschlüsselt. Entgegen den allgemeinen Empfehlungen hat Garmin die Forderungen der Angreifer wohl erfüllt.
Eine verbreitete Methode von Cyberkriminellen ist es, Dateien auf einem System so zu verschlüsseln, dass der oder die Besitzer keinen Zugriff mehr darauf haben. Gibt es kein Backup, das vor dem Angriff geschützt war, sind die Dateien damit de facto weg.
Häufig erreicht die Anwender und Anwenderinnen dann eine Lösegeldforderung: Zahl einen Geldbetrag X an Bitcoin-Konto Y und du erhältst den Key zum Entschlüsseln.
Allgemeine Empfehlung lautet: Bei Angriffen nicht zu zahlen
Die allgemeine Empfehlung bei Angriffen dieser Art mit einer sogenannten Ransomware lautet: Nicht zahlen!
- Erstens ist sowieso nicht sicher, ob das Versprechen eingehalten und die Daten entschlüsselt werden.
- Zweitens werden die Kriminellen dadurch in ihrem Geschäftsmodell bestätigt. Es gibt viele bekannte Fälle, in denen die Nutzerinnen und Nutzer bezahlt haben, die Dateien aber verschlüsselt blieben.
"Bei Garmin muss die Verzweiflung ziemlich groß gewesen sein, dass sie offenbar trotzdem gezahlt haben."
Bei Garmin, einem schweizerisch-amerikanischer Hersteller von Smartwatches, Fitnessarmbändern und Navigationsgeräten, scheint die Not ziemlich groß gewesen zu sein, mutmaßt Deutschlandfunk-Nova-Reporter Michael Gessat. Das Unternehmen hat laut Informationen der Website "Bleeping Computer" nach einem solchen Verschlüsselungsangriff jetzt nämlich gezahlt – die Rede ist von zehn Millionen Dollar.
Dass Garmin tatsächlich gezahlt hat, erscheint deshalb wahrscheinlich, weil Bleeping Computer von einem Informanten bei Garmin die Verschlüsselungssoftware zugespielt bekommen hat. Tests haben gezeigt: Sie funktioniert wirklich, die Dateien waren nach der Entschlüsselung wieder nutzbar.
Die Vermutung liegt nahe, dass Cyberkriminelle mindestens teilweise ihr Versprechen einlösen und den Key zum Verschlüsseln bereitstellen.
Es hilft nur: Alles neu machen
Wenn Garmin wirklich gezahlt haben sollte, wäre das ein Hinweis darauf, dass das eigene IT-System nicht ausreichend auf Angriffe wie diese vorbereitet ist.
Die Dateien wieder nutzbar zu machen, ohne zu bezahlen, kann in der Regel nur über eine komplette Neu-Installation aller betroffenen Systeme funktionieren. Die Dateien werden dann über entsprechende Backups eingespielt, die nicht befallen sein dürfen.
"Opfer von Ransomware sind immer wieder auch Milliardenunternehmen. Die können zwar vielleicht mal zehn Millionen Lösegeld bezahlen, aber es werden auch Kundendaten und Geschäftsgeheimnisse abgegriffen. Ich bin ziemlich fassungslos über die Firmen mit ihren unzureichenden Schutzmaßnahmen."
Hinter dem Angriff wird die russische Cyberkriminellengruppe "Evil Corp" vermutet, die allein mit Onlinebanking-Malware in den letzen zehn Jahren rund 100 Millionen Dollar erbeutet haben soll.
Laut Unternehmensberatung KPMG waren in Deutschland rund 30 Prozent der Unternehmen schon einmal von einem Ransomware-Angriff betroffen. Weitere 25 bis 30 Prozent geben an, einen Versuch registriert zu haben.