Angreifer dringen in die IT-Systeme von Unternehmen ein, verschlüsseln Daten und drohen auch mit der Veröffentlichung von Interna, wenn ihre Geldforderungen nicht erfüllt werden. Angriffe mit erpresserischer Software sind für viele Firmen und Organisationen ein großes Problem.
Auch heimische Firmen greifen oft tief in die Tasche, um wieder auf ihre Daten zugreifen zu können, sagt der Cybersicherheitsexperte Michael Krausz, der mit seiner i.s.c. group Firmen und Organisationen weltweit in solchen Fragen berät. Rund ein Drittel der betroffenen Unternehmen hat laut einer Untersuchung bereits bezahlt. Wann aber bezahlen Firmen und wann nicht? Was bringen Verhandlungen? Und: Können die Zahlungen steuerlich geltend gemacht werden?
Abwägungssache
Ob eine Firma bezahlt oder nicht, sei Abwägungssache, sagt Krausz. Wenn das für die Freigabe der Daten verlangte Lösegeld in einem sehr geringen Verhältnis zum Umsatz stehe, dann bezahle man üblicherweise. Es gebe auch kulturelle Unterschiede. „Die Amerikaner haben immer bezahlt, weil sie das Problem vom Tisch haben wollten und weil sie sich nicht damit beschäftigen wollten.“
Ein wichtiges Thema sei auch, inwieweit man ohne Hilfe der Täter die Lage selbst in den Griff bekommen kann. Wenn man über ein gutes Back-up verfüge, das man installieren kann und Ausfallszeiten keine große Rolle spielen, dann könne man von einer Zahlung auch absehen, meint der Experte. Ethische oder moralische Argumente würden in solchen Fällen aber wenig helfen. Entscheidend sei, ob die Unternehmen in der Lage seien, sich selbst aus dem Sumpf zu ziehen oder nicht.
Allerdings habe man heute meist auch gar keine andere Wahl, als zu zahlen, denn längst werden die Daten nicht nur verschlüsselt, sondern auch „abgesaugt“. Die Täter drohen dann mit Veröffentlichung oder verkaufen die Daten einfach weiter.
Marius Hoefinger
Cybersicherheitsexperte Michael Krausz
Was bringen Verhandlungen?
„Verhandlungen mit den Cyberkriminellen können viel bringen“, meint Krausz. Etwa wenn es darum gehe, Zeit zu gewinnen, um die Daten vielleicht doch aus eigener Kraft wiederherstellen zu können.
Habe man sich entschlossen zu bezahlen, sollte man darauf drängen, die Zahlungen in Bitcoin und nicht in einer anderen Kryptowährung durchführen zu können, rät Krausz. Denn Bitcoin-Zahlungen könnten nachverfolgt werden. Auch sei es einfacher, Bitcoin rasch in größeren Mengen zu beschaffen als andere Kryptowährungen.
Kann man die Ausgaben steuerlich abschreiben?
Ja, sagt Krausz. Der Cybersicherheitsexperte hat zu dem Thema ein Rechtsgutachten anfertigen lassen. Anders als etwa in Großbritannien, wo jede Form der Zahlung an Verbrecher nicht geltend gemacht werden kann, weil dadurch auch das Geschäftsmodell der Täter gefördert werden könnte, sollte das in Österreich möglich sein, meint Krausz.
Das bestätigt auch das Finanzministerium. Erpressungsgelder könnten ausnahmsweise betrieblich veranlasste Ausnahmen sein, wenn z.B. Geheimnisverrat oder die Beschädigung oder Zerstörung von Wirtschaftsgütern angedroht werden, heißt es auf Anfrage des KURIER aus dem Finanzministerium. Davon seien auch Fälle umfasst, in denen gedroht werde, Daten verschlüsselt zu lassen oder zu veröffentlichen. Die Erpressung müsse aber den Betrieb direkt betreffen. Handle es sich um Daten, die lediglich die private Sphäre des Unternehmers betreffen, liege keine betriebliche Veranlassung vor.
Offene Fragen
Nicht zweifelsfrei geklärt ist die Frage, wie mit der Angabe des Zahlungsempfängers verfahren werden kann. Denn das Finanzamt verlangt üblicherweise, dass der Empfänger, der als Betriebsausgabe angesetzten Zahlung genau bezeichnet wird. Die …read more
Source:: Kurier.at – Wirtschaft
