Ransomware-Attacken zählen nach wie vor zu den häufigsten Angriffsmethoden. Wie aktuelle Analysen zeigen, drohen Cyberbanden ihren Opfern nun vermehrt damit, Verstöße gegen Vorschriften wie die DSGVO an die Aufsichtsbehörden zu melden.

So haben Forscher des Security-Anbieters Akamai bereits in den vergangenen zwei Jahren einen zunehmenden Trend bei dieser Taktik beobachtet. Als Beispiel verweisen die Sicherheitsspezialisten auf die Ransomware-Gruppe Anubis. Die Mitglieder würden sich hauptsächlich auf Branchen mit hohen Compliance-Risiken wie das Gesundheitswesen konzentrieren. Auch die berüchtigte Ransomhub-Bande setzt demnach auf diese Methode. So soll sie ihre Partner ausdrücklich dazu ermutigt haben, gehackten Unternehmen regulatorische Strafen anzudrohen.

Folgen für Unternehmen

„Das setzt Unternehmen unter einen doppelten Druck, der kaum zu bewältigen ist“, erklärt Klaus Hild, Manager Solution Engineering Enterprise bei SailPoint, gegenüber CSO. Sie müssten zwischen Lösegeldzahlung und potenziell ruinösen Strafen sowie Reputationsverlust abwägen. „Diese ‘Compliance-Erpressung’ ist keine theoretische Bedrohung mehr – sie ist zum Standardverfahren von Ransomware-Kartellen geworden“, so der Experte.

Tim Berghof, Security Evangelist bei G DATA, bestätigt auf Nachfrage von CSO, dass es sich bei dieser Vorgehensweise technisch gesehen zwar nur um eine Erweiterung der „branchenüblichen” Double Extortion handelt, aber massive Folgen mit sich bringen kann. „Selbst, wenn eine erfolgte Anzeige sich als gegenstandslos erweist. Behördliche Ermittlungsverfahren erzeugen Aufsehen, binden Ressourcen und werden potenziell publik.“

KI verstärkt Angriffe

Hild verweist auf ein weiteres Problem: „KI-gestützte Tools beschleunigen diese Angriffe dramatisch. Kriminelle können heute innerhalb weniger Stunden nach einem Datendiebstahl gestohlene Dokumente auf ‘materielle’ Compliance-Verstöße screenen – schneller und präziser, als viele Unternehmen ihre eigenen Systeme auditieren können.“

Der SailPoint-Spezialist führt aus: „Sie erstellen detaillierte, rechtlich fundierte Beschwerden für Behörden und setzen enge Fristen. Mit neuen Regulierungen wie DORA in der EU und verschärften SEC-Meldepflichten wächst das Arsenal dieser Erpresser stetig.“

Berghoff fasst zusammen: „Die Frage bleibt, was für Unternehmen die glimpflicheren Folgen hat: Eine Selbstanzeige oder die anonyme Meldung bei der zuständigen Behörde durch eine Gruppe Krimineller. Da es auch in einigen Bereichen noch viel Unsicherheit um das Thema Compliance gibt, fallen Drohungen mit Behörden hier auf potenziell fruchtbaren Boden.“