Double Extortion (doppelte Erpressung) ist die Weiterentwicklung klassischer Ransomware-Angriffe: Statt Deine Daten nur zu verschlüsseln, stehlen die Angreifer sie vorher auch noch. So hast Du gleich zwei Probleme: Deine Dateien sind verschlüsselt und damit unbrauchbar, und gleichzeitig drohen die Kriminellen, die gestohlenen Daten im Internet zu veröffentlichen – Kundendaten, Geschäftsgeheimnisse, Mitarbeiterdaten, alles. Selbst wenn Du ein Backup hast, bist Du nicht aus dem Schneider.
Warum ist das so gefährlich?
Klassische Ransomware hatte eine Schwäche aus Sicht der Angreifer: Wer gute Backups hatte, konnte die verschlüsselten Daten einfach wiederherstellen und musste nicht zahlen. Die Lösegeldzahlungen gingen zurück. Also erfanden Ransomware-Gruppen um 2019 herum eine neue Taktik: die doppelte Erpressung.
Der Ablauf eines Double-Extortion-Angriffs folgt einem klaren Muster. Zuerst verschaffen sich die Angreifer Zugang zum Netzwerk – über Phishing, eine Sicherheitslücke oder gestohlene Zugangsdaten. Dann bewegen sie sich tagelang oder sogar wochenlang unentdeckt durch das Netzwerk. Sie identifizieren die wertvollsten Daten: Kundendatenbanken, Finanzdaten, Verträge, geistiges Eigentum, Personalakten.
In der zweiten Phase beginnt die Exfiltration – die Daten werden heimlich auf Server der Angreifer kopiert. Das geschieht oft nachts oder an Wochenenden, um nicht aufzufallen. Erst wenn genug Daten abgeflossen sind, kommt Phase drei: die eigentliche Verschlüsselung.
Jetzt werden die Opfer gleich doppelt unter Druck gesetzt. „Zahle, oder Du bekommst Deine Daten nie wieder" – das kennt man von klassischer Ransomware. Aber dazu kommt: „Zahle, oder wir veröffentlichen alles." Die Ransomware-Gruppen betreiben dafür eigene „Leak-Seiten" im Darknet, auf denen sie nach und nach Daten von Opfern veröffentlichen, die nicht zahlen. Manchmal werden die Daten auch an Konkurrenten, an Journalisten oder an Aufsichtsbehörden weitergegeben.
Für Unternehmen entsteht ein enormer Druck. Die Veröffentlichung von Kundendaten bedeutet massive DSGVO-Strafen, Vertrauensverlust und potenzielle Klagen. Personalakten im Internet sind ein PR-Desaster. Geschäftsgeheimnisse bei der Konkurrenz können existenzbedrohend sein. Manche Gruppen kontaktieren sogar einzelne Kunden oder Patienten des Opfers direkt und drohen ihnen mit der Veröffentlichung ihrer persönlichen Daten – sogenannte Triple Extortion.
Beispiele aus der Praxis
Conti und das irische Gesundheitssystem HSE (2021): Die Ransomware-Gruppe Conti attackierte den Health Service Executive (HSE) in Irland und legte das gesamte öffentliche Gesundheitssystem lahm. Neben der Verschlüsselung von Systemen wurden rund 700 Gigabyte an sensiblen Patientendaten gestohlen. Die Lösegeldforderung: 20 Millionen US-Dollar. Irland zahlte nicht, aber die Wiederherstellung kostete über 100 Millionen Euro – und gestohlene Patientendaten tauchten im Darknet auf. Die ganze Geschichte in unserem Schadenbeispiel zu Conti und HSE.
LockBit und Royal Mail (2023): LockBit legte den internationalen Versand des britischen Postdienstes Royal Mail wochenlang lahm. Die Angreifer forderten 80 Millionen US-Dollar – eines der höchsten bekannten Lösegelder überhaupt. Neben der Verschlüsselung drohten sie mit der Veröffentlichung interner Daten. Die Verhandlungen zwischen Royal Mail und LockBit wurden später sogar von LockBit selbst veröffentlicht – als Warnung an andere Opfer. Details in unserem Schadenbeispiel zu LockBit und Royal Mail.
BlackCat/ALPHV und Change Healthcare (2024): Dieser Angriff auf den größten Abrechnungsdienstleister im US-Gesundheitssystem war einer der folgenschwersten Cyberangriffe überhaupt. Die Angreifer stahlen Gesundheitsdaten von geschätzt einem Drittel der US-Bevölkerung und legten die Abrechnung für Arztpraxen, Apotheken und Krankenhäuser wochenlang lahm. Change Healthcare zahlte 22 Millionen US-Dollar Lösegeld – doch die Daten tauchten trotzdem im Darknet auf. Die vollständige Analyse in unserem Schadenbeispiel zu BlackCat und Change Healthcare.
Wie schützt Deep Freeze davor?
Deep Freeze adressiert den Verschlüsselungsteil der doppelten Erpressung direkt und wirkungsvoll: Da die Systemfestplatte beim Neustart auf ihren eingefrorenen Zustand zurückgesetzt wird, ist die Verschlüsselung durch Ransomware nach einem Reboot schlicht nicht mehr vorhanden. Die Erpressung „Zahle, oder Du bekommst Deine Daten nie wieder" läuft ins Leere.
Beim Datendiebstahl-Teil liegt die Sache differenzierter. Wenn Angreifer bereits Daten von Deinem System kopiert haben, kann Deep Freeze das nicht rückgängig machen – was einmal abgeflossen ist, ist abgeflossen. Aber: Deep Freeze verhindert, dass Angreifer sich dauerhaft in Deinem System einnisten können. Die tagelange Erkundungsphase, die Double-Extortion-Angriffe typischerweise brauchen, wird massiv erschwert, wenn der Angreifer nach jedem Neustart seinen Zugang verliert. Die Persistenz, die für die Datenexfiltration großer Mengen nötig ist, wird unterbrochen.
In Kombination mit der Praxis, sensible Daten nicht auf der eingefrorenen Systempartition zu speichern, sondern auf separaten, geschützten Laufwerken oder in der Cloud, entsteht ein robustes Schutzkonzept gegen beide Erpressungsebenen.
Double Extortion hat das Ransomware-Geschäft verändert: Selbst gute Backups schützen nicht mehr vor allem. Aber eine eingefrorene Systempartition nimmt den Angreifern zumindest die eine Hälfte ihrer Drohung – und erschwert ihnen die andere erheblich, indem sie die nötige Persistenz für großflächigen Datendiebstahl verhindert.