Wie unsere Welt erpressbar wurde

Die Attacken mit Ransomware nehmen zu, und die Erpresser sind kaum zu fassen – warum ist das so? Ein Ausflug in der Welt der Cyberkriminellen.

Foto einer IT-Sicherheitsberatung in einem großen Saal mit US-Präsident Joe Biden und Vertretern von IT- und Energie-Firmen.
Washington im August 2021: US-Präsident Joe Biden diskutiert mit Vertretern von IBM, Alphabet und Energieversorgern Maßnahmen gegen Internet-Erpressung und Cyberattacken. © Getty Images
×

Auf den Punkt gebracht

  • Immer mehr Ransomware-Attacken. Nicht zuletzt durch die Pandemie und den Krieg in der Ukraine nehmen Ransomware-Angriffe zu.
  • Das Ausmaß ist schwer zu beziffern. Bislang haben Unternehmen oft versucht, Cyberangriffe zu verheimlichen.
  • Die Kriminellen sind gut organisiert. Hinter den Angriffen stecken nicht einzelne Hacker, sondern ein ganzes Netzwerk an organisierten Kriminellen.
  • Schwierige Strafverfolgung. Cyberkriminellen wird selten das Handwerk gelegt – erwischt werden meist nur die kleinen Fische.

Ransomware als spezielle Form der Cyberkriminalität war schon immer vorhanden, wurde aber in den vergangenen Jahren durch die Covid-Pandemie und in jüngster Zeit durch die internationalen Spannungen noch verschärft. Wegen der Lockdowns mussten die Menschen von zu Hause aus arbeiten – oft von ungesicherten Computern, die anfällig für Infektionen waren. Die politischen Spannungen haben die Landschaft der Cyberkriminalität mit vielen neuen Akteuren bevölkert. Dazu gehören staatlich geförderte Akteure genauso wie solche, die im Namen des Staates handeln, und selbsternannte Cyber-Partisanen.

Vor der „russischen Operation“ in der Ukraine im Februar 2022 waren Cyberkriminelle und insbesondere Ransomware-Angreifer sehr stark auf wirtschaftlichen Gewinn ausgerichtet. Ransomware-Angreifer installieren heimlich Schadsoftware auf dem Computer des Opfers, verschlüsseln wichtige Daten und stören damit den Betrieb eines Unternehmens, um Lösegeld zu erpressen. Nach der Zahlung des Lösegelds gibt ein Entschlüsselungsprogramm die Dateien frei, so dass der Geschäftsbetrieb wieder aufgenommen werden kann. Heute sind Ransomware-Attacken komplexer geworden; die kriminellen Aktivitäten wurden ausgeweitet, um mehr Angst und Schrecken zu verbreiten.

Lösegeld oder politische Ziele

Die meisten Ransomware-Angriffe verschlüsseln mittlerweile nicht nur Systeme, sondern stehlen auch wichtige Daten und veröffentlichen Teile der gestohlenen Daten, um die Erpressten zur Zahlung des Lösegelds zu bewegen. Manchmal beschränken sich die Angreifer auch darauf, Daten zu stehlen und sie gegen Zahlung eines Lösegelds zurückzugeben und die Kopien dieser Daten zu löschen. Eine dritte Möglichkeit: Die Daten der Opfer werden verschlüsselt oder gelöscht, um die attackierte Organisation betriebsunfähig zu machen – es gibt keine Lösegeldforderung.

Erpressung: Foto des Displays eines Mobiltelefons auf dem eine Twitternachricht des ukrainischen Verteidigungsministeriums zu lesen ist.
Ein Tweet des ukrainischen Verteidigungsministeriums. © Getty Images

Das Motiv solcher Angriffe ist nicht finanzieller Gewinn, sondern die Funktionsfähigkeit wichtiger Organisationen zu stören (einschließlich des Transports von Truppen während eines Kriegs), um die Pläne von Regierungen zu durchkreuzen oder einfach nur die Bürger des Feindes zu verunsichern. Sie verfolgen eher politische als wirtschaftliche Ziele und die Angreifer bringen häufig ihre Unterstützung für eine der Kriegsparteien zum Ausdruck.

Neue Ära der Wirtschaftskriege

Aufgrund des politisch aufgeladenen Umfelds ist das Problem der Cyberkriminalität also noch komplexer geworden. Auf der einen Seite ist das Problem der Cyberkriminalität nun ein Teil des Narrativs der Kriegsgeschichten geworden, zumal durch den Krieg neue Cyberkriminelle sichtbar geworden sind und sich andere bekannte Gruppen zu einer Flagge bekannt haben. Auf der anderen Seite bleibt jedoch die Tatsache bestehen, dass die Welt der Cyberkriminalität abseits des Krieges wie gewohnt funktioniert, dass die Hauptakteure nach wie vor dieselben sind und dass sich frühere Cyberkriminalitätstrends ungeachtet dessen weiterentwickeln.

Es ist schwierig festzustellen, wie groß das Problem der Cyberkriminalität ist und wie die Angreifer arbeiten.

Dieser Artikel stellt die Hypothese auf, dass wir eine neue Ära der elektronischen Wirtschaftskriegsführung erleben. Unternehmen und Dienstleister sind durch Ransomware und Cyberkriminalität neuen Bedrohungen ausgesetzt. Es ist schwierig festzustellen, wie groß das Problem der Cyberkriminalität ist, wie viel Cyberkriminalität wir tatsächlich zu sehen bekommen, wie die Angreifer arbeiten und warum es so schwierig ist, diese Angreifer zu fassen.

Ransomware: Ein Geschäft mit Daten

Seit Jahren wird versucht, das Ausmaß des Ransomware-Problems einzuschätzen – nicht zuletzt seitens der Politik. Das ist unter anderem deshalb schwierig, weil sich niemand einig zu sein scheint, was das Problem eigentlich ist: Einige sehen Cyberkriminalität in erster Linie als Angriffe auf technische Einrichtungen, andere sehen sie als Desinformationskampagnen, die meisten aber sehen sie als Online-Verbrechen, die finanzielle Verluste verursachen. In diesem Artikel werden unter Cyberkriminalität Handlungen bezeichnet, die mit technischen Angriffen das kriminelle Ziel erreichen, einen wirtschaftlichen oder politischen Gewinn zu erzielen. Ransomware ist ein sehr nützliches Beispiel für eine komplexe grenzüberschreitende moderne Cyberkriminalität.

Opfer einer Ransomware-Attacke zu sein, bringt für Unternehmen hohe Verluste mit sich; entweder durch die Zahlung des Lösegelds oder die Wiederherstellung von Daten, die Zahlung von Versicherungsprämien, die Wiederherstellung entgangener Geschäfte, die Zahlung von Geldstrafen für Datenverluste und die Beilegung von Sammelklagen, bei denen Kunden sie wegen ihrer Verluste verklagt haben. Die weltweiten Verluste dadurch belaufen sich laut aktuellen Schätzungen auf zwanzig Milliarden Dollar pro Jahr. Und das sind nur die finanziellen Verluste; die zusätzlichen Kosten in Form von entgangenen Dienstleistungen oder verpassten Geschäftschancen werden dabei nicht berücksichtigt.

Ransomware: Foto des Eingangstores zu einer Ölraffinerie mit großen Öltanksin den USA mit Warnschildern.
2016 wurde die Pipeline von Colonial durch einen eine Cyberattacke stillgelegt. Das Unternehmen zahlte schließlich 4,4 Millionen Dollar an die Erpresser. © Getty Images

Dennoch werden Ransomware-Angriffe in der Regel nicht gemeldet. Vor allem weil die Opfer, in der Regel Unternehmen, den Angriff in ihrem eigenen Interesse beenden und schnell wieder zur Arbeit zurückkehren wollen. Sie möchten auch nicht die Polizei einschalten, da sie befürchten, dass die Attacke öffentlich wird und das zu finanziellen Auswirkungen aufgrund der Schädigung ihres geschäftlichen Ansehens führt. Dies hat zur Folge, dass es kaum Anreize gibt, Cyberangriffe zu melden und viele schwere Fälle von Cyberkriminalität nie ans Licht kommen – was lange Zeit die polizeilichen Ermittlungen behindert und eine Generation von Forschern im Bereich der Cyberkriminalität frustriert hat.

Die Fälle von Erpressung nehmen zu

Zwei Faktoren tragen dazu bei, dass Informationen über Ransomware nun vermehrt an die Öffentlichkeit gelangen. Zum Einen benennen die Angreifer ihre Opfer vermehrt öffentlich auf „Leak“-Seiten und geben Datenproben frei, um die angegriffenen Unternehmen zur Zahlung des Lösegelds zu bewegen. Zum Anderen verlangen staatliche Behörden zunehmend, dass Cyberangriffe gemeldet werden müssen. Viele dieser Informationen sind jedoch mangelhaft. Die veröffentlichten Datenproben zeigen zwar, dass ein Angriff erfolgreich war, aber sie sagen nichts darüber aus, wie erfolgreich er war oder ob das Opfer seine Auswirkungen abgemildert hat.

Andererseits wissen die Opfer auch selbst nicht immer, wie sich der Angriff tatsächlich ausgewirkt hat (im Gegensatz zu den Auswirkungen auf den Ruf), so dass sie nicht in der Lage sind, ihn korrekt zu melden. Trotzdem haben wir mittlerweile eine bessere Datenlage über Cyberangriffe, die politischen Entscheidungsträgern, Polizeibehörden und Cybersicherheitsanalysten hilft.

×

Zahlen & Fakten

Für das „Emphasis and Contrails Ransomware Project“ habe ich mehr als 7.000 öffentlich gewordene Ransomware-Angriffe analysiert. Es fällt auf, dass Ransomware seit der zweiten Jahreshälfte 2019, als „Ransomware as a Service“ (RAAS) – das Bereitstellen von Ransomware als Dienstleistung für Kriminelle – populär wurde, dramatisch zugenommen hat.

Ransomware wurde auch im Bereich der schweren Cyberkriminalität bedeutender und macht jetzt etwa zwanzig bis dreißig Prozent der schweren Cyberkriminalität aus (die anderen sind DDoS-Angriffe und wirtschaftliche Cyberkriminalität wie Betrug und Diebstahl).

Ransomware als Dienstleistung

Eines der ersten Merkmale der Cyberkriminalität war, dass sie es einer einzelnen Person ermöglichte, eine Straftat zu begehen, für die früher viele Personen zusammenarbeiten mussten. Es war möglich, statt eines hochriskanten 50-Millionen-Euro-Raub theoretisch 50 Millionen risikoarme 1-Euro-Raubüberfälle gleichzeitig bequem von zu Hause aus zu begehen. Die Realität der frühen Cyberkriminalität war jedoch dennoch, dass sie riskant war, sich nicht wirklich auszahlte und weder Spaß machte noch aufregend war – die beiden letztgenannten Faktoren wurden bei der Motivation der Angreifer selten berücksichtigt.

Die Taktiken von Ransomware-Operationen scheinen eher aus einem Geschäftshandbuch als aus einem Spielbuch der organisierten Kriminalität zu stammen.

Im Laufe der Zeit erkannten diejenigen, die mit Cyberkriminalität Geld verdienen wollten, die Notwendigkeit, ihre Operationen auszuweiten. Sie kauften sich in die Dienste erfahrener Akteure ein, die eine erfolgreiche Attacke und einen guten finanziellen Ertrag gewährleisteten. Es entstand ein Ökosystem für Cyberkriminalität, das es Angreifern ermöglicht, eine Reihe von Cyberstraftaten zu begehen, darunter auch Ransomware-Attacken.

Ransomware: Mitarbeiterinnen in einem Geschäft blicken auf Laptop-Bildschirme, auf denen eine Erpressungsnachricht zu lesen ist.
Erpressung durch die Software „Petya“ in der Ukraine 2017: Auf den Bildschirmen ist zu lesen, dass 300 Dollar für die Entschlüsselung der Daten verlangt werden. © Getty Images

Die Analyse der Ransomware-Operationen zeigt eine Reihe von Taktiken, die eher aus einem Geschäftshandbuch als einem Spielbuch der organisierten Kriminalität zu stammen scheinen. Das Geschäftsmodell von Ransomware basiert in der Regel darauf, dass Kriminelle Ransomware als Dienstleistung von Ransomware-Betreibern mieten, die die Ransomware-Marke kontrollieren und verwalten. Die Betreiber vermieten ihre Dienste also an Geschäftspartner, die sie gegen eine Gebühr oder Provision rekrutiert oder ausgewählt haben. Sie führen den Angriff in der Regel in neun verschiedenen Phasen durch, die jeweils durch spezielle Fähigkeiten und Praktiken gekennzeichnet sind.

  • Auswahl des Opfers: Zunächst werden die besten Opfer für einen Angriff identifiziert. Diese Aufgabe wird von einem Ransomware-Berater übernommen, der den Partner bei dieser Suche unterstützt.
  • Zugangsdaten: Der zweite Schritt ist der Zugang zum Netzwerk des Opfers mit Hilfe von Zugangsdaten, die von Händlern erworben werden, die sich auf solche Informationen spezialisiert haben.
  • Zugriffsrechte: Sobald sie in das Computersystem des Opfers eingedrungen sind, setzen die Kriminellen häufig externe Profis ein, um ihre Zugriffsrechte innerhalb des Systems zu erweitern und ihren Bewegungsspielraum zu vergrößern.
  • Datenexport: Die höhere Zugriffsebene ermöglicht den Angreifern, jene wichtigen organisatorischen Daten zu identifizieren und zu exportieren, die bei Verlust Schaden anrichten würden.
  • Installation der Ransomware: Die Partner installieren ihre Ransomware (die sie vom Ransomware-Betreiber als Service gemietet haben), die zu einem vorher festgelegten Zeitpunkt die Daten verschlüsselt und das Computersystem unbrauchbar macht.
  • Lösegeldforderung: Das Opfer wird zur Zahlung des Lösegelds aufgefordert und auf der Leak-Seite des Ransomware-Betreibers, die als Teil der Ransomware-as-a-Service bereitgestellt wird, namentlich genannt, wenn es nicht zahlt oder kooperiert. Sehr oft wird die Lösegeldzahlung vom Ransomware-Berater der Angreifer und dem Vertreter des Opfers ausgehandelt.
  • Lösegeldzahlung: Das Lösegeld wird im Erfolgsfall in Kryptowährung (in der Regel Bitcoin) auf ein von den Ransomware-Betreibern ausgehandeltes und von einer „befreundeten“ Kryptowährungsbörse gehostetes Konto des Partners gezahlt.
  • Umtausch der Kryptowährung: Die Erträge aus der Straftat werden behoben, indem so genannte „Tumbler“ verwendet werden, die die Herkunft der Kryptowährung verschleiern und in Bargeld umwandeln, das dann von Geldkurieren geliefert wird.
  • Spuren verwischen: Schließlich geht es darum, mit dem Verbrechen davonzukommen, sobald es abgeschlossen ist. Dazu gehört die Investition des Geldes in der legalen oder illegalen Wirtschaft, oft durch einen eigenen Anlageberater.

Das bedeutet, dass es neben dem Angreifer, also der Cybercrime-Bande, weitere Parteien – das Ökosystem – gibt, die wesentliche Dienste zur Durchführung des Verbrechens leisten und dann gegen eine Gebühr weitere Verbrechen ermöglichen. Diese Personen sind sehr geschickt und anpassungsfähig. So scheinen sich die Angreifer vor allem auf kleine bis mittlere Unternehmen zu konzentrieren und nicht auf größere, weil diese zwar relativ viel Geld haben, aber nicht genug, um in eine wirksame Cybersicherheitsabteilung zu investieren.

×

Zahlen & Fakten

Cyberkriminelle sind risikoscheu, und sie verfolgen moderne, adaptive Geschäftsmodelle. Die Anbieter von Ransomware wählen ihre Partner sehr sorgfältig aus, um ihr Risiko zu verringern. Die Tatsache, dass Ransomware ein vielschichtiges Verbrechen mit vielen Beteiligten ist, macht es den Polizeibehörden besonders schwer, die Täter zu identifizieren und festzunehmen. Die jüngsten Verhaftungen von Kriminellen der Ransomware-Anbieter Clop beispielsweise haben die Aktivitäten nur vorübergehend unterbrochen, da sie sich später als Geldkuriere des Geldgebers herausstellten – also als unbedeutende Akteure in einem größeren kriminellen Netzwerk. Zudem sind die eigentlichen Angreifer nur ein relativ kleiner Teil der viel größeren Operation, sodass die Verfolgung und Ergreifung der Angreifer eine relativ kleine Rolle spielt.

Schutz vor Erpressung

Welche Möglichkeiten Unternehmen haben, sich zu schützen, hängt davon ab, welche Unternehmen es sind. Viele größere Unternehmen und Organisationen verfügen über sehr leistungsfähige Abteilungen für Cybersecurity, kleine und mittlere Unternehmen hingegen haben in der Regel nicht so wirksame Gegenmaßnahmen, weshalb sie von Cyberkriminellen gezielt ins Visier genommen werden. Diese Organisationen brauchen wohl mehr Hilfe als große Unternehmen.

Letztendlich müssen alle Unternehmen Cybersecurity ernst nehmen und sie in ihr Geschäftsmodell integrieren. Cybersecurity ist ein wesentlicher Bestandteil des Geschäftslebens und nicht optional. Dies kann von Richtlinien zur Aktualisierung und Sicherung von Betriebssystemen und Software über zertifizierte Cybersecurityverfahren bis hin zu speziellen Richtlinien zum Schutz wichtiger Daten reichen. Viele Cyberkriminelle beginnen ihre Angriffe, indem sie Einzelpersonen innerhalb des Unternehmens ausnutzen, oft unter Ausnutzung ihrer Rolle als Kundenbetreuer, sodass eine Schulung des Personals gegen Phishing-Angriffe ebenfalls wichtig ist. Wichtig ist auch, dass der Angriff erkannt und den zuständigen Behörden gemeldet wird, und dass man mit diesen Behörden kooperiert.

×

Conclusio

Ransomware rückt zunehmend in den Fokus: Die virtuellen Erpressungen nehmen zu, und sie verursachen immer mehr Schaden bei Unternehmen und Staaten. Im Hintergrund agieren keine vereinzelten Hacker, es haben sich ganze kriminelle Netzwerke mit Arbeitsteilung gebildet – die deshalb auch kaum zu zerschlagen sind. Unternehmen müssen deshalb lernen, Cybersecurity endlich ernst zu nehmen.