Ransomware-Angriffe gehören zu den am schnellsten wachsenden Bedrohungen der digitalen Welt. Cyberkriminelle verschlüsseln dabei gezielt Daten auf Unternehmenssystemen und fordern Lösegeld – meist in Kryptowährungen – für die Entschlüsselung. Besonders beunruhigend ist die Taktik der Double Extortion: Die Täter entwenden vor der Verschlüsselung sensible Daten und drohen mit deren Veröffentlichung, sollte das Lösegeld nicht gezahlt werden. Dadurch steigt der Druck auf das betroffene Unternehmen enorm – und die Erpressung erfolgt auf gleich zwei Ebenen.
Meldepflichten für regulierte Unternehmen und KRITIS
Für bestimmte Sektoren – insbesondere Unternehmen der kritischen Infrastruktur (KRITIS) wie Energieversorger, Krankenhäuser oder große Logistik- und Kommunikationsdienstleister – bestehen gesetzliche Informationspflichten bei IT-Sicherheitsvorfällen. Sie sind verpflichtet, das Ereignis umgehend an Behörden wie das BSI (Bundesamt für Sicherheit in der Informationstechnik), Aufsichtsbehörden (z. B. BaFin), die Datenschutzaufsicht oder sogar das jeweilige ZAC (Zentrale Ansprechstelle Cybercrime) beim LKA zu melden.
Diese Verpflichtungen dienen dem übergeordneten Ziel, den Schutz der öffentlichen Versorgung, der Wirtschaft und der Gesellschaft sicherzustellen. Die schnelle Einbindung von Behörden ermöglicht koordinierte Gegenmaßnahmen, Warnungen an andere Betroffene und eine effektive Gefahreneinschätzung auf nationaler Ebene.
Was tun nicht-regulierte Unternehmen?
Unternehmen, die nicht unter gesetzliche Meldepflichten fallen – beispielsweise viele KMU oder Organisationen außerhalb der kritischen Infrastruktur – sind formell nicht verpflichtet, einen Ransomware-Angriff zu melden. Doch auch sie sollten unbedingt Strafverfolgungsbehörden einbinden – aus folgenden Gründen:
- Beweissicherung und IT-Forensik: Die Polizei hilft bei der rechtssicheren Sicherung digitaler Spuren – wichtig für spätere Ansprüche gegenüber Tätern, Dienstleistern oder Versicherungen.
- Internationale Ermittlungsansätze: Die Behörden haben Zugriff auf nationale und internationale Datenbanken und Netzwerke (z. B. Europol), um Tätergruppen zu identifizieren oder Angriffsmuster zu erkennen.
- Erkenntnisse über organisierte Tätergruppen: Jede Meldung unterstützt die Behörden dabei, Strukturen und Arbeitsweisen professioneller Cyberbanden besser zu analysieren. Diese Erkenntnisse fließen in Prävention, Aufklärung und politische Maßnahmen ein.
- Frühwarnsysteme aktivieren: Informationen zu Angriffen werden – anonymisiert – genutzt, um andere potenzielle Opfer rechtzeitig zu warnen und neue Angriffsmethoden zu erkennen.
- Versicherungs- und Haftungsfragen: Viele Cyber-Versicherungen verlangen die frühzeitige Einbindung von Polizei oder BSI als Voraussetzung für eine vollständige Schadensregulierung.
Fazit
Die Einbindung von Behörden nach einem Ransomware-Angriff ist ein strategisch kluger Schritt – nicht nur im Sinne der eigenen Sicherheit, sondern auch im Interesse der allgemeinen Bedrohungsabwehr. Behörden können bei der Aufklärung, Koordination und Information unterstützen.
Wichtig ist jedoch: Behörden übernehmen nicht die operative Krisenbewältigung im Unternehmen. Sie ersetzen kein funktionierendes Business Continuity Management (BCM), keine vorbereiteten Notfallpläne und keine strukturierte Wiederanlaufplanung. Hier sind spezialisierte Sicherheitsberater gefragt, die betroffene Unternehmen aktiv durch den Vorfall begleiten.
Die Corporate Trust GmbH steht Ihnen in solchen Fällen als erfahrener Partner zur Seite – mit technischer, organisatorischer und strategischer Unterstützung in jeder Phase eines Cyberangriffs: von der Erstreaktion bis zur Wiederherstellung des Regelbetriebs.
Corporate Trust Sicherheitsblog 