Cyber-Attacke : Schadsoftware für 28 Dollar?
- -Aktualisiert am
Maersk ist die größte Container-Reederei der ganzen Welt. Bild: EPA
Der nächste Angriff mit Schadsoftware läuft. Viele Unternehmen sind betroffen. Und eine beunruhigende Beobachtung macht die Runde.
Noch ist nicht bekannt, wer alles von dem neuen Cyber-Angriff getroffen worden ist. Unter den namhaften deutschen Unternehmen haben sich die Post und Metro gemeldet mit Blick auf ihre Niederlassungen in der Ukraine, aus Russland der Ölkonzern Rosneft und überdies Maersk - die dänische Reederei teilte dabei mit, dass mehrere Geschäftseinheiten betroffen seien, etwa auch Büros im Vereinigten Königreich und in Irland.
Wirtschaftskorrespondent in Düsseldorf.
Verantwortlicher Redakteur für Wirtschaft Online.
Dabei zeigt der Fall, wie Cyberattacken auch jene Computerfachleute unter Druck setzt, die mit dem Schutz vor Angriffen ihr Geld verdienen. Zunächst teilten sie nämlich nach übereinstimmenden Einschätzungen mit, dass die Variante der Schadsoftware derjenigen gleiche, die auch in den „Wannacry“-Attacken unlängst zum Einsatz kam. „Es scheint eine Variante eines Stückes Ransomware zu sein, die im vergangenen Jahr auftauchte“, sagte etwa Alan Woodward, ein Computerfachmann von der Universität Surrey, dem britischen Fernsehsender BBC. Diese sei zu Beginn dieses Jahre erneuert worden von „Kriminellen, nachdem bestimmte Erscheinungsformen zerschlagen wurden. Die Ransomeware wurde Petya genannt und die erneuerte Version Petrwrap.“
Die schon bekannte Schadsoftware ist im Internet für wenig Geld zu haben: Andrei Barysevich vom Internet-Sicherheit spezialisierten Unternehmen Recorded Future teilte der BBC mit, seine Firma habe entsprechende Schadsoftware-Angebote in den vergangenen zwölf Monaten häufig im Internet gesehen. „Sie kostete nur 28 Dollar (22 Pfund) in den Foren.“ Er fügte jedoch einschränkend hinzu: „Aber wir sind nicht sicher, ob sie die neueste Version oder eine neue Variante derselben verwendet haben.“ Sicher geben sich inzwischen aber die Forscher des russischen IT-Unternehmens Kaspersky, die herausgefunden haben wollen, dass die Schadsoftware eine neue Art von Ransomware ist. Kaspersky hat den Wurm deshalb „NotPetya“, also „nicht Petya“ getauft. Betroffen seien nach ersten Erkenntnissen 2000 Nutzer vor allem in Europa.
In den wenigsten Fällen sind Angriffe mit Ransomware gezielte Attacken auf nur ein Unternehmen. Häufig sucht sich die Schadsoftware Sicherheitslücken in gleich mehreren Computersystemen. Im vergangenen Jahr betrug der Lösegelderlös von Kriminellen durch Ransomware nach Angaben von Sicherheitsfachleuten mehr als 1 Milliarde Dollar.
Die Experten des IT-Sicherheitsunternehmen Trend Micro haben analysiert, dass es im Jahr 2016 plötzlich 247 sogenannte Ransomware-Familien gab, also Varianten von Schadprogrammen, die Rechner verschlüsseln. Ein Jahr vorher waren es nur 29 gewesen.
Meist wird solche Schadsoftware durch Spam-Mails in Unternehmen geschleust. Nutzer werden dazu verleitet, auf infizierte Anhänge zu klicken. Danach verbreitet sich der Wurm nicht selten durch das gesamte Unternehmensnetzwerk.
Hacker müssen nur eine Schwachstelle finden
Freilich gibt es nicht nur Angreifer, die versuchen, ihre Attacke möglichst weit zu streuen, um von vielen Opfern kleine Geldbeträge zu erpressen, wie es im Falle von „Wannacry“ gewesen war oder wie es nun offenkundig ist. Wenn etwa von Geheimdiensten unterstützte Hackertruppen einzelne Krankenhäuser oder Unternehmen als Ziel auswählen, sind die Lösegeldforderungen häufig höher. Spezialisierte Attacken kosten allerdings auch mehr Geld und erfordern auch auf der Seite der Hacker einen höheren Aufwand, weil diese ein Unternehmen lange beobachten müssen, um mögliche Schwachstellen zu identifizieren.
Grundsätzlich liegt das Problem bei solchen Angriffen in der Asymmetrie: Hacker müssen nur eine Schwachstelle finden, Verteidiger alle möglichen schützen. Die Forscher von Trend Micro gehen davon aus, dass sich Ransomware in den nächsten Jahren verändern wird. „Cyberkriminelle könnten Angriffe auf Industrial Control Systems (ICS) und andere kritische Infrastrukturen erwägen, um nicht nur Netzwerke sondern ganze Ökosysteme zu lähmen“, heißt es in einem Bericht. Ein weiteres Ziel könnten in der Zukunft Zahlsysteme werden. Schon beim Angriff auf die Nahverkehrsgesellschaft von San Francisco im Jahr 2016 gab es einen solchen Fall. Damals wurden die Kassenhäuschen des „Bay Area Rapid Transit“ von Ransomware attackiert.
