Der Fall machte Schlagzeilen: Am 12. Januar dieses Jahres wurde die altehrwürdige Royal Mail in Großbritannien Opfer eines Cyberangriffs. Die britische Post, und hier der Bereich Royal Mail International, sei durch die Ransomware Lockbit teilweise lahmgelegt worden, berichtete die BBC. Die Erpresser forderten Lösegeld in Millionenhöhe, sonst würden die verschlüsselten Daten nicht mehr freigegeben.

Die Verantwortlichen der Royal Mail wollten zunächst nicht zugeben, dass sie Opfer eines Angriffs mit Erpressungssoftware geworden waren. Inzwischen hat aber die hinter Lockbit steckende Hackergruppe Einzelheiten zu den Lösegeldverhandlungen im Darknet veröffentlicht. Das berichtet das britische Online-Magazin ITPro. Die Protokolle offenbaren demnach spannende Einblicke in die Verhandlungstaktiken beider Seiten. Betroffene Unternehmen erhielten wertvolle Hinweise, wie sie im Falle eines erfolgreichen Angriffs vorgehen könnten.

Die Verhandlungen zogen sich vom 12. Januar bis zum 9. Februar dieses Jahres hin. Beteiligt waren auch britische Sicherheitsbehörden wie das National Cyber Security Centre (NCSC) und die National Crime Agency (NCA).

Fehler aufdecken und verunsichern

Die Lockbit-Bande forderte den veröffentlichten Chat-Protokollen zufolge ein Lösegeld in Höhe von 65,7 Millionen britischen Pfund. Die Kalkulation der Hacker: Diese Summe entspreche 0,5 Prozent des Jahresumsatzes und liege um den Faktor acht niedriger als die Strafe, die die Post im Zweifel für die Verletzung von Datenschutzregeln zahlen müsse.

Royal Mail International schrieb, dass die Rechnung der Hacker falsch sei. Die Jahreseinnahmen lägen bei 800 Millionen Pfund. Infolgedessen müsse das Lösegeld nach der Logik der Angreifer deutlich geringer ausfallen. Allem Anschein nach haben die Hacker Royal Mail und Royal Mail International verwechselt.

Tipp: Verwirren Sie Erpresser, indem sie Fehler in deren Argumentation offenlegen. Das schwächt ihre Position und verunsichert sie möglicherweise.

Auch der nächste Verhandlungsschritt wurde darauf ausgelegt, Zweifel zu streuen. So drängten die Verhandler Lockbit zu beweisen, dass die Entschlüsselung überhaupt funktioniere, vor allem mit großen Dateien. Wenn das nicht gelinge, sei die Zahlung von Lösegeld von vornherein ausgeschlossen. Lockbit solle zwei Dateien mit insgesamt 6 GB entschlüsseln, um zu belegen, dass ihre Schlüssel wirklich funktionierten. Außerdem würden die Inhalte dieser beiden Dateien dringend benötigt, um wichtige medizinische Hilfsgüter zu versenden.

Tipp: Machen sie den Erpressern ein schlechtes Gewissen.

Die Hacker schienen sich zunächst auf dieses Prozedere einlassen zu wollen, erkannten dann aber, dass Royal Mail International anhand der entschlüsselten Dateien möglicherweise in die Lage versetzt werden könnte, auch alle anderen Daten zu entschlüsseln - ohne das Lösegeld zu zahlen. Sie schlugen deshalb vor, auf andere Art und Weise zu belegen, dass ihre Entschlüsselung funktioniere.

Lösegeld-Forderungen als unrealistisch abtun

An dieser Stelle änderten die Verhandler auf der Opferseite ihre Taktik und begannen damit, die Hacker hinzuhalten. Sie erklärten etwa, man habe die Möglichkeit einer Lösegeldzahlung mit dem Vorstand besprochen, doch die Verantwortlichen hätten die Höhe der Forderung als absurd zurückgewiesen. "Unter keinen Umständen werden wir die von Ihnen geforderte Summe zahlen", so die Botschaft an die Hacker. "Wir haben wiederholt versucht, Ihnen zu erklären, dass wir nicht das große Unternehmen sind, für das Sie uns halten, sondern eine kleinere Tochtergesellschaft." Der geforderte Betrag könne vom Vorstand niemals ernst genommen werden.

Tipp: Machen Sie den Hackern klar, dass ihre Forderungen absolut unrealistisch sind. Am besten begründen Sie das auch gleich - beispielsweise damit, dass die Erpresser ein falsches Bild davon hätten, wie Ihr Unternehmen wirtschaftlich dasteht. Damit säen Sie Zweifel, ob die Hacker überhaupt jemals Geld von Ihnen zu sehen bekommen.

Die Taktik der britischen Post zeigte Wirkung. Lockbit ließ durchblicken, man würde ein Gegenangebot in Betracht ziehen.

Doch damit hatte Royal Mail International keine Eile. Sie ignorierten den Frust der Erpresser über die offensichtliche Hinhaltetaktik einfach. Die Zermürbungstaktik hatte Erfolg. Anfang Februar schlugen die Hacker einen Nachlass von 12,5 Prozent vor. Das Lösegeld sollte damit noch etwa 57,4 Millionen Pfund betragen.

Mitglied der Ransomware-Bande LockBit verhaftet

Hacker hinhalten und Zeit gewinnen

Die Postverantwortlichen spielten weiter auf Zeit. Man habe das Angebot dem Vorstand vorgelegt und bitte darum, dessen Antwort abzuwarten. Drei Tage später folgte eine weitere Nachricht an die Erpresser, dass man immer noch auf eine Antwort warte. Am 9. Februar hakten die Cybergangster nach und fragten, ob es denn nun ein Angebot gebe.

Tipp: Bewahren Sie die Nerven und spielen Sie auf Zeit. Halten Sie die Hacker hin, oft hat das eine zermürbende Wirkung. Derweil können Sie daran arbeiten, Ihre Systeme wiederherzustellen. Wenn Sie dabei vorankommen, lassen Sie die Hacker an Ihren Erfolgen teilhaben, auch wenn diese nur klein sind.

Die Verhandlungsprotokolle, die ITPro vorliegen, sind am 9. Februar abgebrochen. Es habe den Anschein, dass Royal Mail International das Lösegeld nicht gezahlt hat und dies auch nie vorhatte, heißt es in dem Bericht. Obwohl Lockbit gedroht habe, Daten zu veröffentlichen, tauchten diese nach dem Ablauf des Ultimatums nicht auf. Ob die Verhandlungen an anderer Stelle insgeheim weitergeführt wurden, ist nicht bekannt. Die britischen Sicherheitsbehörden wie auch Royal Mail International wollten sich dazu nicht äußern.

Wie der Ransomware-Vorfall rund um den britischen Postdienst ausging beziehungsweise ob er noch weiter geht, liegt im Dunklen. Die Royal Mail hat zumindest einen "Cybervorfall" bestätigt, ohne allerdings die Begriffe Angriff oder Erpressung zu erwähnen. Mittlerweile funktioniere auch der internationale Versand wieder, der zunächst stark beeinträchtigt gewesen sei. Lediglich eine kleine Zahl von Dienstleistungen für Geschäftskunden sei immer noch nicht verfügbar, hieß es.

Sowohl das NCSC als auch die NCA haben bestätigt, dass sie an der Untersuchung des Vorfalls beteiligt sind. LockBit distanzierte sich zunächst von dem Angriff, gab aber später zu, dass eine zum Netzwerk gehörende Untergruppe dahinterstecke.