Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde.
BKA-Trojaner.de Logo
Ransomware

Double Extortion

Seit einigen Jahren kombinieren viele Ransomware-Gruppen die Verschlüsselung mit dem Diebstahl sensibler Daten. Dieses Vorgehen wird als Double Extortion bezeichnet. Selbst Unternehmen mit guten Backups stehen damit unter Druck - die Veröffentlichung gestohlener Informationen lässt sich durch einen Restore nicht rückgängig machen.

Unabhängiges Informationsangebot. Nicht verbunden mit dem Bundeskriminalamt, der Polizei oder einer anderen Behörde. Im Notfall bitte Polizei, BSI oder einen spezialisierten IT-Dienstleister einbinden. Diese Inhalte ersetzen keine professionelle Incident-Response-, Forensik-, Rechts- oder IT-Beratung.

Kurzfassung

  • Angreifer stehlen Daten, bevor sie verschlüsseln
  • Lösegeld wird sowohl für die Entschlüsselung als auch gegen die Veröffentlichung verlangt
  • Backups schützen vor Datenverlust, nicht vor Veröffentlichung
  • Meldepflichten nach DSGVO und Krisenkommunikation rücken in den Mittelpunkt

Wie ein Double-Extortion-Angriff typischerweise abläuft

  • Initialer Zugang über Phishing, gestohlene Zugangsdaten oder ungepatchte Systeme
  • Tage- bis wochenlange Erkundung im Netzwerk, Ausweitung der Rechte
  • Identifikation sensibler Daten (Personal, Kunden, Verträge, Quellcode)
  • Heimliche Exfiltration der Daten auf externe Speicher der Angreifer
  • Sabotage erreichbarer Backups
  • Verschlüsselung und Erpresserschreiben mit Doppelforderung
  • Veröffentlichung von Beispieldaten auf Leak-Portalen, falls nicht gezahlt wird

Typische Szenarien

  • Mittelständischer Betrieb: Produktion steht, gleichzeitig drohen Personaldaten im Leak-Portal
  • Dienstleister: Kundendaten Dritter werden zum Druckmittel, Vertragsstrafen drohen
  • Krankenhaus: Patientendaten erhöhen die Eskalationsstufe deutlich
  • Kommune: Verwaltungsakten und Meldedaten als zusätzlicher Hebel

Warum Backups allein nicht reichen

Ein sauberer Restore stellt Systeme und Daten wieder her, holt aber kein einziges Dokument aus den Händen der Angreifer zurück. Reputation, Datenschutzmeldungen und vertragliche Pflichten gegenüber Kunden bleiben bestehen, unabhängig davon, ob die Wiederherstellung gelingt.

Konsequenzen für Vorbereitung und Reaktion

  • Backups nach 3-2-1, mit unveränderbarer (immutable) Kopie - notwendig, aber nicht hinreichend
  • Datenklassifizierung: wissen, welche Daten besonders sensibel sind
  • Netzwerksegmentierung, MFA und Privilegienreduktion zur Erschwerung der Erkundung
  • Erkennung von Exfiltration (ungewöhnliche Datenmengen, verdächtige Tools)
  • Meldepflichten nach DSGVO Artikel 33 und ggf. NIS2 vorab juristisch klären
  • Krisenkommunikation für Mitarbeitende, Kunden, Behörden und Presse vorbereiten

Im Vorfall

Im akuten Fall gilt: Eindämmen ohne Beweise zu zerstören, Krisenstab aktivieren, Geschäftsleitung, Datenschutz und Rechtsabteilung einbinden, spezialisierten DFIR-Dienstleister hinzuziehen. Eine geordnete Schritt-für-Schritt-Hilfe steht in der Incident-Response-Checkliste.

Wichtiger Hinweis

Diese Seite ersetzt keine juristische, datenschutzrechtliche oder forensische Beratung. Meldepflichten und vertragliche Folgen müssen im Einzelfall geprüft werden.

Häufige Fragen

Wie erkennen wir, ob Daten abgeflossen sind?

Indikatoren sind ungewöhnlich hohe ausgehende Datenmengen, verdächtige Verbindungen zu Cloud-Speicher- oder File-Sharing-Diensten und der Einsatz von Tools wie rclone oder MEGA-Clients. Ohne entsprechendes Monitoring (SIEM, EDR, Firewall-Logs) ist eine sichere Aussage schwierig - planen Sie Exfiltration daher konservativ als realistisches Szenario ein.

Sind wir nach einer Zahlung sicher, dass die Daten gelöscht werden?

Nein. Es gibt dokumentierte Fälle, in denen Daten trotz Zahlung weiterverkauft oder später dennoch veröffentlicht wurden. Eine technische oder rechtliche Garantie ist nicht möglich.

Müssen wir den Vorfall melden, auch wenn nichts veröffentlicht wurde?

Sobald personenbezogene Daten betroffen sein können, läuft in der Regel die 72-Stunden-Frist nach Artikel 33 DSGVO. Die Bewertung gehört in juristische Hände, eine reine Backup-Wiederherstellung beendet die Meldepflicht nicht.

Was unterscheidet Double Extortion von einfacher Ransomware?

Klassische Ransomware sperrt oder verschlüsselt. Double Extortion fügt den Diebstahl und die Drohung mit Veröffentlichung hinzu. Es ist damit zugleich ein IT-Sicherheits-, Datenschutz- und Reputationsthema.