Die drei Reporter des Bayerischen Rundfunks hatten Erfolg: Eine IT-Sicherheitsfirma brachte Hakan Tanriverdi, Reinhard Weber und Christian Sachsinger auf die Spur eines spektakulären Deals: Der Osnabrücker Kupferhersteller KME hatte 1,27 Millionen US-Dollar an kriminelle Hacker überwiesen. Zuvor hatten die Hacker alle Computer des Unternehmens mittels eines Virus verschlüsselt. Die Verhandlungen fanden offenbar im Darknet statt, den Chatverlauf konnten die Reporter einsehen. Zunächst hatten die Hacker 7,5 Millionen Dollar gefordert, im Laufe der Zeit konnte eine mit den Verhandlungen beauftragte Person den Preis drücken.
Damit erhält die Öffentlichkeit erstmals einen detaillierten Einblick in die Vorgehensweise professioneller Cyber-Erpresser. Dennoch sind Erpressungen mittels „Ransomware” kein Einzelfall. So werden Virenprogramme genannt, die in die IT-Infrastruktur der Unternehmen eingeschleust werden, sich automatisch dort installieren und die auf dem Server abgelegten Daten mit einem Code verschlüsseln. Die Anwender werden darüber informiert, dass ihre Daten erst nach Anweisung eines Lösegelds in einer Kryptowährung wieder freigegeben werden. Weil viele Unternehmen Sicherheitsvorfälle aus Angst um ihre Reputation lieber verschweigen, ist die Dunkelziffer hoch. Der Digitalverband Bitkom spricht von einem Schaden in Höhe von insgesamt 10,5 Milliarden Euro in den Jahren 2018 und 2019.
Illegaler Wissens- und Technologietransfer, Social Engineering und auch Wirtschaftssabotage – das seien keine seltenen Einzelfälle, sondern ein Massenphänomen, so Thomas Haldenwang, Vizepräsident des Bundesamtes für Verfassungsschutz (BfV). Nicht nur Diebstahl macht der Industrie zu schaffen. Jedes fünfte Industrieunternehmen berichtet von digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen. Weitere 28 Prozent vermuten, dass es solch einen Vorfall bei ihnen gab. BfV-Vizepräsident Haldenwang: „Neben der klassischen Wirtschaftsspionage beschäftigen uns vermehrt Attacken, bei denen davon ausgegangen werden muss, dass Schadsoftware mit dem Ziel in IT-Systeme eingebracht wird, Sabotage-Akte vorzubereiten“. Im „Bundeslagebild Cybercrime”, das die aktuellen Erkenntnisse zur Lage und Entwicklung im Bereich Internetkriminalität beschreibt, bezeichnet das Bundeskriminalamt (BKA) Ransomware als „größte Bedrohung” für Wirtschaftsunternehmen. Die Hacker hätten es insbesondere auf größere Konzerne abgesehen, so Carsten Meywirth, Abteilungsleiter für Cybercrime, gegenüber den BR-Reportern: „Die Täter schauen, dass sie sich große Fische an Land ziehen, wo sie sehr hohe Lösegeldforderungen realisieren können.” Er warnt, dass es keine Sicherheit gebe, dass nach einer Zahlung entsprechende Dekryptoren von den Tätern versandt werden. Mit Dekryptoren lassen sich die Daten wieder entschlüsseln. Sein Rat: „Wir empfehlen, in jedem Fall nicht zu zahlen. Das würde noch mehr Anreize für Tatwiederholungen schaffen, möglicherweise auch im gleichen Unternehmen.”
Zu Beginn der meisten Cybercrime-Straftaten steht der Diebstahl einer digitalen Identität – durch den Abgriff eines Passworts für einen E-Commerce-Account, zu E-Mail- oder Messengerdiensten, zur Cloud oder zu firmeninternen Ressourcen, so das BKA. Dadurch erst werden die verschiedenen Formen von Cybercrime möglich. Der bekannteste Versuch dürfte der über die Verbreitung von Spam-Mails sein. Dabei verschicken dubiose E-Mail-Absender Mails zu höchst unterschiedlichen Themen, oft werden als Absender bekannte Unternehmen angegeben, Banken oder Softwareunternehmen. Wer den Anhang herunterlädt oder dem Link folgt, lädt sich eine Schadsoftware herunter, die den Hackern den Zugriff auf eigene Daten ermöglicht. Diese Form der Kriminalität nimmt stark zu: 2019 wurden knapp 2,8-mal so viele Spam-Mails verschickt wie im Jahr zuvor.
Ein Großteil von Cyberstraftaten wird mittels Malware begangen, welche in fremde Systeme eindringt und dort eine Vielzahl an schädlichen Funktionen ausführen kann. Dabei werden meist infizierte Anhänge von Spam-Mails von unbedarften Usern geöffnet, die sich dann als Programme im System installieren. Dadurch können die Kriminellen bestimmte Funktionen innerhalb der Betriebs-IT fernsteuern, etwa Mikrofon und Web-Cam. Andere übermitteln Tastaturanschläge an die Kriminellen die damit an Passwörter oder sensible Informationen gelangen.
Wieder andere sind dafür da, den Weg für eine ganze Reihe Schadsoftware freizumachen. Das Geschäftsmodell bezeichnet das BKA als „Infection-as-a-Service“. Dazu gehört das extrem gefährliche Virus Emotet, das in jüngster Zeit massiv an Behörden und Krankenhäuser versandt worden ist. Hat das Virus einmal die betrieblichen Systeme infiziert, kann es andere Module nachladen, die wahlweise Passwörter ausspähen, das Online-Banking beeinflussen oder die Rechner verschlüsseln. Damit kann das Unternehmen dann erpresst werden, siehe Ransomware.
Das BKA jedenfalls rät dringend dazu sich klarzumachen, dass die digitale Identität eine ähnliche Sensibilität aufweist, wie ein physischer Personalausweis, Reisepass oder eine Kreditkarte und deshalb geschützt werden muss. Entscheidend für die Internetsicherheit sei Skepsis gegenüber dubiosen Mails und ein sicheres Passwort, das gut aufbewahrt wird. Das klinge zwar trivial, so das BKA, trage aber entscheidend zur Sicherheit der eigenen Daten bei.
Bei dem Angriff auf den Osnabrücker Kupferhersteller wurde übrigens die Ransomware „Sodinokibi” verwendet. Die ist den Sicherheitsbehörden nicht unbekannt. So kam sie unter anderem bei einem Angriff auf das Deutsche Rote Kreuz im Juli zum Einsatz. Statt Lösegeld zu bezahlen, sollten Betroffene sich immer an die zuständige Kriminalpolizei wenden, rät das BKA. Darüber hinaus könnten Betroffene nach frei verfügbaren Entschlüsselungstools recherchieren, etwa beim unter anderem von EUROPOL initiierten Projekt „NoMoreRansom“. Das BKA ist offizieller Partner.
