Wenn Hacker ein Unternehmen lahmlegen, beginnt oft ein nervenaufreibender Machtkampf: zahlen oder nicht zahlen? In solchen Situationen verhandeln Thomas Meier und sein Team der InfoGuard AG mit Cyberkriminellen. Dabei geht es selten nur um Daten oder IT-Systeme – häufig stehen Arbeitsplätze, Reputation und im Extremfall die Zukunft ganzer Unternehmen auf dem Spiel. Im Interview berichtet er, wie solche Verhandlungen laufen, was es dabei zu beachten gilt und welche Entwicklungen er im Bereich Cyber-Erpressung beobachtet.
Viele Tätergruppen agieren erstaunlich strukturiert und rational. Hinter den Angriffen stehen häufig arbeitsteilige Organisationen mit klarer ökonomischer Logik. Entsprechend behandeln professionelle Verhandler die Situation nicht als emotionalen Schlagabtausch, sondern als strategische Verhandlung. Gleichzeitig ist er im engen Austausch mit den geschädigten Unternehmen.
Die Bedrohungslage verschärft sich jedoch. Tabuzonen wie Schulen oder Spitäler verlieren an Bedeutung, und statt Daten nur zu verschlüsseln, stehlen Angreifer sie zunehmend und drohen mit Veröffentlichung. Künstliche Intelligenz beschleunigt diese Entwicklung zusätzlich.

Thomas Meier, Sie und Ihr Team verhandeln regelmässig mit Cyberkriminellen. Gab es einen Fall, der Sie an Ihre Grenzen brachte?

Von «an die Grenzen bringen» würde ich nicht sprechen – aber in unseren Mandaten geht es nie nur um Daten oder Systeme. Es geht um Existenzen, um Arbeitsplätze, um persönliche Schicksale und mitunter um die Zukunft ganzer Unternehmen. Wir sind uns dieser Verantwortung sehr bewusst.

Können Sie uns einen besonders schwerwiegenden Fall beschreiben?

Letztes Jahr hatten wir einen Fall im Finanzsektor mit knapp 30 indirekt betroffenen Unternehmen. Die Angreifer waren über eine Sicherheitslücke beim grössten Kunden, einem Provider, eingedrungen. Die Folge war ein massiver Kollateralschaden für zahlreiche, ohne eigenes Verschulden betroffene Unternehmen. Entsprechend komplex war der Krisenstab: viele Stakeholder, hoher Zeitdruck, unterschiedliche Interessen. Die Anspannung war deutlich spürbar. Ein besonders einschneidendes Beispiel sind auch Angriffe auf Spitäler und andere kritische Infrastrukturen. Dann geht es nicht nur um wirtschaftliche Schäden, sondern um Versorgungssicherheit und gesellschaftliche Verantwortung.

InfoGuard Cyber Defence Center

InfoGuard beschäftigt über 350 Mitarbeitende und schützt rund 1000 Unternehmen im DACH-Raum vor digitalen Gefahren. Der Hauptsitz des Unternehmens befindet sich in Baar (ZG), weitere Standorte sind in Bern, Frankfurt, München, Düsseldorf und Wien.

Wie ging dieser Angriff auf den Provider aus?

Die Angreifer wussten sehr genau, in welcher starken Position sie sich befanden: Die Backups des Providers waren zerstört, zentrale Kundendaten kompromittiert. Diese Ausgangslage führte zu einer ungewöhnlichen Verhandlungsdynamik und die Täter waren kaum kompromissbereit. Nach sorgfältiger Risikoabwägung fiel die Entscheidung zur Zahlung der initial geforderten Summe. Insgesamt kam es aber nur in etwas mehr als 20 Prozent der Fälle, in denen wir 2025 als Incident Responder involviert waren, tatsächlich zu einer Lösegeldzahlung. Meist gelingt es, alternative Wege zu finden oder die Forderungen signifikant zu reduzieren.

Sie sprachen von spürbarer Anspannung in diesem Fall. Wie gehen Sie damit um?

Erfahrung ist in solchen Situationen entscheidend. Wenn Drohungen im Raum stehen, hohe Forderungen gestellt werden und auf Kundenseite verständlicherweise Emotionen hochgehen, braucht es Stabilität. Wir müssen dann einen kühlen Kopf bewahren, Fakten von Emotionen trennen und strukturiert vorgehen. Auch wenn die Gegenseite kriminell handelt, folgt sie in der Regel einer ökonomischen Logik. Und genau dort setzen wir an. Wir verfügen über einige der erfahrensten Verhandler und Incident-Response-Spezialisten im DACH-Raum.

«Einrichtungen wie Krankenhäuser oder Schulen galten teilweise als tabu. Heute beobachten wir solche Selbstbeschränkungen deutlich seltener.»

Thomas Meier

Sie haben Angriffe auf kritische Infrastrukturen erwähnt. Wie häufig sind diese?

Früher verfügten viele grössere Gruppierungen über eine Art internen Kodex. Einrichtungen wie Krankenhäuser oder Schulen galten teilweise als tabu. Heute beobachten wir solche Selbstbeschränkungen deutlich seltener. Während kritische Infrastrukturen mitunter noch zurückhaltender behandelt werden, gelten Schulen nicht mehr grundsätzlich als ausgenommen. Leider müssen wir mittlerweile feststellen: Verlässliche Tabuzonen gibt es nicht.

Ab wann kommen Sie als professionelle Verhandler in den Prozess?

Idealerweise vom ersten Moment an. Entscheidend ist, rasch ein umfassendes Lagebild zu erhalten: Welche Daten sind betroffen? Welche Forderungen stehen im Raum? Gibt es realistische Wiederherstellungsoptionen? Zeit und Informationsvorsprung sind in dieser Phase entscheidend. Zudem fordern wir häufig einen neuen, vertraulichen Chatkanal, da der erste durch die breite Streuung der Ransomnote intern oder sogar medial mitgelesen wird.

Wie läuft die Kontaktaufnahme technisch ab?

In der Regel enthält die sogenannte Ransomnote – also eine Art digitaler Erpresserbrief – konkrete Anweisungen zur Kontaktaufnahme. Der Austausch erfolgt häufig über Chat-Funktionen auf Täterplattformen. Zunehmend kommen jedoch auch anonyme Kanäle wie Tox zum Einsatz, ein verschlüsselter Messaging-Dienst, der die Identität zusätzlich verschleiert.

Anweisungen zur Kontaktaufnahme

In der Regel enthält die sogenannte Ransomnote – also eine Art digitaler Erpresserbrief – konkrete Anweisungen zur Kontaktaufnahme. Der Austausch erfolgt häufig über Chat-Funktionen auf Täterplattformen.

Kontrolle über die Situation zurückgewinnen

«Unsere Spezialisten agieren taktisch flexibel, im Ton grundsätzlich kooperativ. Das primäre Ziel ist Zeitgewinn», sagt Meier. «Diese Zeit nutzen wir für forensische Analysen.»

Reputation spielt wichtige Rolle

«Viele Gruppen handeln nach einer klaren ökonomischen Logik», sagt Meier. «Wenn sie nach einer Zahlung keinen funktionierenden Entschlüsselungscode liefern würden, würde ihr Geschäftsmodell kollabieren. Reputation spielt auch im kriminellen Markt eine nicht zu unterschätzende Rolle.»

Wie fühlt sich der erste Kontakt mit einer Hackergruppe an?

Für betroffene Unternehmen ist das meist erschütternd und emotional sehr belastend. Für uns ist es Teil der operativen Realität. Wir begegnen der Situation nüchtern und professionell. Hinter vielen Gruppen steht ein klar strukturiertes Geschäftsmodell – und genau so behandeln wir es: als strategische Verhandlung, nicht als emotionalen Schlagabtausch.

Wie gehen Sie in eine Verhandlung?

Unsere Spezialisten agieren taktisch flexibel, im Ton grundsätzlich kooperativ. Das primäre Ziel ist Zeitgewinn. Diese Zeit nutzen wir für forensische Analysen. Dabei untersuchen wir beispielsweise, wo der initiale Angriffspunkt lag, wie sich die Angreifer im Netzwerk bewegt haben und welche Daten oder Systeme betroffen sind. Weiter bewerten wir die Wiederherstellungsfähigkeit und fällen strategische Entscheidungen im Hintergrund. Entscheidend ist, das Tempo der Verhandlung zu steuern und nicht von Deadlines getrieben zu sein. Das ist der erste Schritt, um die Kontrolle über die Situation zurückzugewinnen. Besonders dann, wenn funktionierende Backups vorliegen und lediglich die angedrohte Veröffentlichung gestohlener Daten als Druckmittel verbleibt. Wird dieses eingesetzt, verliert es seine Wirkung – und die Verhandlung ist faktisch beendet. Diese Logik machen wir den Angreifern klar, was häufig längere Verhandlungszeiträume ermöglicht.

«Entscheidend ist, das Tempo der Verhandlung zu steuern und nicht von Deadlines getrieben zu sein. Das ist der erste Schritt, um die Kontrolle über die Situation zurückzugewinnen.»

Thomas Meier

Welche psychologischen Muster beobachten Sie bei Cyberkriminellen?

Hinter vielen Gruppen steht eine hochentwickelte kriminelle Ökonomie mit klaren Rollen, Arbeitsteilung und Strukturen. Viele der Akteure verstehen sich selbst als Geschäftsleute. Sie treten häufig freundlich, nüchtern und ausgesprochen rational auf – bei gleichzeitig klarer Dominanz in der Kommunikation. Ein Satz, der mir besonders in Erinnerung geblieben ist: «Look, I’m a businessman.»

Was sind typische Fehler oder Fallen in solchen Verhandlungen?

Zum falschen Zeitpunkt auf Konfrontation zu gehen oder strategische Optionen vorschnell offenzulegen, ist einer der häufigsten Fehler. Entscheidend ist zudem die richtige Positionierung des Verhandlers. Früher trat man teilweise bewusst als technisch weniger versierte Schnittstelle nahe der Entscheidungsebene auf, was nicht selten zu zusätzlichen Informationen auf Täterseite führte.

Was hat man überhaupt in der Hand, wenn die Täter die Daten besitzen?

Wenn Daten exfiltriert, also gestohlen wurden, ist die Ausgangslage deutlich schwieriger. Die Angreifer verfügen dann über ein zusätzliches Druckmittel – Veröffentlichung und Monetarisierung. Gleichzeitig sind sie in diesem Szenario bereits in Vorleistung gegangen, ohne den tatsächlichen Wert der entwendeten Daten im Detail zu kennen. Das schafft einen gewissen Verhandlungsspielraum. Die zentrale Frage lautet dann: Lohnt sich für beide Seiten eine Einigung – oder bleibt der wirtschaftliche Nutzen für die Täter hinter den Erwartungen zurück? Wurden Daten hingegen «nur» verschlüsselt, spielen funktionierende Backups eine zentrale Rolle. In solchen Fällen verschiebt sich die Machtbalance deutlich zugunsten der Verteidigungsseite.

Was ist für Sie eine erfolgreiche Verhandlung?

Es geht nicht nur um die Reduktion einer Forderung. Entscheidend sind Schadensminimierung, Zeitgewinn, Schutz von Reputation und regulatorische Stabilität – sowie die rasche Wiederherstellung der Handlungsfähigkeit. Im Zentrum steht für uns immer die Wertschöpfung und Zukunftsfähigkeit des Kunden.

Wie wird man Verhandlungsführer und was muss man dafür mitbringen?

Entscheidend sind Erfahrung, ein ausgeprägtes Verständnis der Cybercrime-Ökonomie und taktisches Gespür. Zudem braucht es psychologische Stabilität und die Fähigkeit, auch unter extremem Druck klar zu denken – sowohl gegenüber den Angreifern als auch auf Kundenseite. Empfehlungen müssen auch in angespannten C-Level-Runden klar und standfest vertreten werden. Wie in vielen anspruchsvollen Disziplinen gilt zudem: Erfahrung lässt sich nicht simulieren. Sie entsteht im Einsatz.

Sie haben vorhin erwähnt, Hacker würden sich als Geschäftsleute sehen. Gibt es bei diesen Gruppen also eine gewissen Verlässlichkeit?

In gewisser Weise ja. Viele Gruppen handeln nach einer klaren ökonomischen Logik. Wenn sie nach einer Zahlung keinen funktionierenden Entschlüsselungscode liefern würden, würde ihr Geschäftsmodell kollabieren. Reputation spielt auch im kriminellen Markt eine nicht zu unterschätzende Rolle.

«Hinter vielen Gruppen steht eine hochentwickelte kriminelle Ökonomie mit klaren Rollen, Arbeitsteilung und Strukturen. Viele der Akteure verstehen sich selbst als Geschäftsleute.»

Thomas Meier

Entwickelt sich über längere Verhandlungen so etwas wie eine Arbeitsbeziehung zu den Kriminellen oder ein gegenseitiges Verständnis?

Über längere Verläufe entsteht eine gewisse professionelle Interaktion. Viele Tätergruppen sind strukturiert organisiert, mit klaren Rollen und Prozessen. Man begegnet sich auf einer sachlichen Ebene. Akzeptanz im operativen Sinn – ja. Respekt im moralischen Sinn – nein. Am Ende bleibt es ein kriminelles Geschäftsmodell.

Wurden durch Ihre Verhandlungen schon Täter überführt?

Ja. Forensische Analysen und Erkenntnisse aus unseren Mandaten konnten Strafverfolgungsbehörden wiederholt dabei unterstützen, Täter zu lokalisieren und zu überführen. Gerade Verhandlungen liefern zusätzliche technische und operative Hinweise, etwa zu Infrastruktur, Kommunikationsmustern oder Wallet-Strukturen, die gezielt ausgewertet werden können.

Wie hat sich die Szene in den letzten Jahren verändert? Erkennen Sie einen Einfluss des Aufkommens von KI?

Ja, insbesondere durch agentische KI, die teils autonom handeln kann, gibt es eine neue Qualität der Bedrohung. Sie beschleunigt Angriffe, automatisiert Aufklärung und Anpassung von Malware und senkt die Eintrittshürden massiv. KI-Agenten können mittlerweile selbstständig Ziele identifizieren und Attacken orchestrieren. Cyberkriminalität wird damit skalierbar. Parallel beobachten wir einen Strategiewechsel: Statt primär zu verschlüsseln, exfiltrieren Angreifer Daten und setzen auf Erpressung über Veröffentlichung. Die Bedrohung wird damit strategisch deutlich gefährlicher.

Wenn Sie einen Wunsch an Politik und Unternehmen frei hätten: Was müsste sich ändern, damit Sie und Ihr Team weniger gebraucht werden?

Ganz klar: Wir brauchen eine ganzheitliche Sicherheitsmentalität. Cyberresilienz darf kein IT-Thema sein, sondern muss auf Führungs- und Governance-Ebene verankert werden. Technologie allein reicht nicht. Das schwächste Glied – das ist häufig der Mensch – entscheidet, ob die Resilienz genügend stark ist.

Zur Personexpand_less

Thomas Meier (57) gründete 2001 nach einem Wirtschaftsstudium die InfoGuard AG. Heute beschäftigt InfoGuard über 350 Mitarbeitende und schützt rund 1000 Unternehmen im DACH-Raum vor digitalen Gefahren. InfoGuard unterstützt Unternehmen dabei, ihre IT-, Cloud- und Industrie-Infrastrukturen vor Cyberangriffen zu schützen und Sicherheitsvorfälle schnell zu erkennen und zu beheben. Dazu bietet sie unter anderem rund-um-die-Uhr-Überwachung, Reaktion auf Angriffe, Sicherheitsanalysen, technische Umsetzung sowie Beratung und Tests zur gezielten Überprüfung der eigenen Abwehr an. Zu den Kunden zählen Finanz- und Versicherungsunternehmen, Industrie- und Energiedienstleister, Handelsunternehmen, Service Provider, Behörden sowie Spitäler.

Der Hauptsitz des Unternehmens befindet sich in Baar (ZG), weitere Standorte sind in Bern, Frankfurt, München, Düsseldorf und Wien.

Medientipps

YouTube Video

Doku NZZ Format: «Ransomware-Angriff: Firmen in Geiselhaft von Cyberkriminellen» (2026)

Die Doku zeigt anhand Beispielen aus der Praxis eindrücklich, wie Ransomware-Angriffe heute ablaufen und weshalb sie für viele Unternehmen eine existenzielle Bedrohung darstellen.

SRF Digital Podcast: «Ransomware-Negotiator» (2024)

Interessante Einblicke in die Verhandlungsführung mit Cyberkriminellen inklusive Insights von einem unseren absoluten Top-Cracks.

Chris Voss: Never Split the Difference: Negotiating As If Your Life Depended On It (2016)

Absolutes Must zu diesem Thema. Internationaler Bestseller mit praxiserprobtem Ansatz für Verhandlungen. Besonders lesenswert, weil: praxisnahe Techniken, psychologischer Ansatz, spannende Stories, vielfältige Anwendbarkeit.