https://www.faz.net/-j0w-ac3ul
Verlagsspezial

: Lösegeld für gekaperte Rechner

Unterbrochene Lieferketten: Nach einem Cyberangriff auf das IT-Netzwerk des Lebensmittelhändlers Tegut Anfang Mai, werden die Kunden an den fast leeren Kühlregalen informiert. Bild: Bernd Kammerer/Picture Alliance

Ransomware-Angriffe gelten unter Hackern als lukrative Angelegenheit: Dabei werden Computer von Unternehmen und Behörden mit einer Schadsoftware verschlüsselt – und nur gegen eine Lösegeldzahlung wieder freigegeben. Wenn kritische Infrastruktur davon betroffen ist, kann es gefährlich werden.

          3 Min.

          Milch, Joghurt, Fleisch, Wurst und Obst wurden knapp, Gutscheine konnten nicht mehr eingelöst werden, Aktionsangebote wurden gestrichen: Anfang Mai legte ein Cyberangriff das IT-Netzwerk der Lebensmittelkette Tegut lahm. Betroffen waren laut Unternehmensangaben unter anderem die Warenwirtschaftsprogramme, die die Logistik steuern. Sämtliche Systeme der Zentrale im hessischen Fulda seien daraufhin gemäß Notfallplan heruntergefahren und vom Netz genommen und die Sicherheitsbehörden informiert worden. Ein Krisenstab arbeitete gemeinsam mit IT-Spezialisten mehrere Tage daran, den Normalbetrieb wiederherzustellen.

          Wer hinter der Attacke auf den Lebensmittelhändler steckte, ist unklar – die Ermittlungen laufen. Sicher ist: Die Cyberkriminellen wollten Geld. Es handelte sich nämlich um einen sogenannten Ransomware-Angriff. Dabei legen Hacker die Computersysteme ihrer Opfer mit einer bösartigen Verschlüsselungssoftware lahm, um anschließend für die Entsperrung hohe Summen zu erpressen. Die durchschnittliche Lösegeldzahlung beträgt dabei laut einer Studie des Cybersicherheits-Unternehmens Sophos zufolge weltweit 140 000 Euro und in Deutschland 115 000 Euro. International sind sogar Fälle bekannt, in denen die Täter zweistellige Millionensummen forderten.

          Verweigert eine attackierte Organisation die Zahlung, wird das ebenfalls teuer. Denn die Kosten durch Ausfallzeiten eines Netzes können ebenso hoch sein wie die gezahlten Lösegelder, heißt es in einer aktuellen Analyse des Rückversicherers Munich Re. „Ransomware ist nach wie vor für Cyberkriminelle mit Abstand das lukrativste Geschäftsmodell“, sagt Martin Kreuzer, Experte für Cyberkriminalität bei Munich Re.

          Angriffe werden immer spezialisierter

          Neben hohen finanziellen Schäden für die betroffenen Organisationen gehen von Ransomware-Angriffen auch Gefahren für die öffentliche Infrastruktur aus. Bei Angriffen auf Stromnetze, medizinische Systeme oder Transportmanagement können dabei sogar Menschenleben gefährdet sein. So wurden in Deutschland in den vergangenen Jahren beispielsweise Dutzende von Krankenhäusern auf diese Weise attackiert. Besonders folgenreich war dabei ein Ransomware-Angriff auf die IT des Universitätsklinikums Düsseldorf im vergangenen September: Hunderte Operationen und Behandlungen fielen aus, zudem wurde das größte Düsseldorfer Krankenhaus von der Notfallversorgung abgemeldet, konnte also nicht mehr von Rettungsdiensten angefahren werden. Laut Bericht des nordrhein-westfälischen Justizministeriums starb infolgedessen eine Patientin, weil sie wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus nach Wuppertal gebracht werden musste.

          Ausgangspunkt derartiger Ransomware-Angriffe ist in den allermeisten Fällen eine Mail mit Virus-Anhang, den ein unbedarfter Mitarbeiter öffnet. „Mehr als 90 Prozent aller Cyberangriffe starten immer noch mit einer ganz normalen E-Mail“, erklärt Cybercrime-Experte Kreuzer. „Verändert hat sich, dass die Angriffe immer spezialisierter werden.“ Ein Aspekt dabei sind echt aussehende Mails von Kriminellen, die ihre Adressaten persönlich ansprechen und sich als Vorgesetzte oder Geschäftspartner ausgeben. Die Corona-Krise hat das Problem verschärft, weil viele Mitarbeiter im Homeoffice tätig sind und sich vom meist schlechter geschützten heimischen Rechner aus ins Firmennetzwerk ihres Arbeitgebers einloggen.

          Sicherheitsexperten raten von Lösegeldzahlung ab

          Nach FBI-Zahlen ist in den Vereinigten Staaten allein im März 2020 die Zahl der Ransomware-Angriffe um fast 150 Prozent gestiegen. „Covid-19 wird unverändert in hohem Maß als Vehikel genutzt, um Cyberattacken zu starten, weil das Interesse daran sehr groß ist und sich dies nutzen lässt, um Malware zu verbreiten“, sagt Kreuzer. Es habe im vergangenen Jahr nicht nur mehr, sondern vor allem auch deutlich teurere und kompliziertere Schäden gegeben, bestätigt Ole Sieverding, Cybermanager beim Spezialversicherer Hiscox. „Der Haupttreiber ist das Thema Ransomware.“ So gaben in einer Hiscox-Umfrage 19 Prozent der befragten Unternehmen an, in den vergangenen zwölf Monaten mithilfe von Ransomware angegriffen worden zu sein.

          Aber es sind längst nicht nur Unternehmen von den Angriffen betroffen. So wurde etwa die Verwaltung des 7000-Einwohner-Städtchens Dettelbach in der Nähe von Würzburg 2016 Opfer eines Ransomware-Angriffs: Ein Verschlüsselungs-Trojaner legte die Server der Stadtverwaltung lahm, das Einwohnermeldeamt musste schließen, das E-Mail-System fiel aus, und die Stadtwerke hatten keinen Zugriff mehr auf die Kundendaten. Eine Anzeige auf den Computer-Bildschirmen der Mitarbeiter forderte zur Zahlung eines Lösegeldes auf, um das System wieder benutzbar zu machen. Am Ende entschied die Stadtverwaltung, die geforderte Summe zu zahlen, um die Computersysteme wieder nutzen zu können.

          Von einem solchen Vorgehen raten die Sicherheitsexperten allerdings ab: Zwar sei es nachvollziehbar, wenn sich Betroffene im Einzelfall zur Zahlung des Lösegeldes entschließen würden. Es gebe aber keine Garantie dafür, dass die Daten nach der Zahlung auch wirklich entschlüsselt werden könnten. Außerdem besteht das Risiko, dass man die Straftäter durch die Lösegeldzahlung zu einer Wiederholung animiert. „Für alle Risikoträger ist es umso wichtiger, aus Vorfällen zu lernen und Cybersecurity-Trends, Bedrohungen und Schwachstellen zu erkennen“, betont Munich-Re-Experte Kreuzer. So werden die Dettelbacher Verwaltungsangestellten sicherlich nicht mehr unbedarft E-Mail-Anhänge von unbekannten Absendern öffnen – genauso wenig wie die Mitarbeiter des Lebensmittelhändlers Tegut und anderer betroffener Unternehmen. Denn aus Schaden wird man bekanntlich klug.

          Topmeldungen

          : Cyberangriffe: Deutsche Firmen im Visier

          Angriffe aus dem Cyberspace nehmen zu, der Schaden für die deutsche Wirtschaft ist immens. Unternehmen müssen nicht nur in die technische IT-Sicherheit investieren – sondern auch die Mitarbeiter für die Gefahren der digitalen Sphäre sensibilisieren.
          Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt.

          Interview : „Das Vertrauensverhältnis zum Kunden ist ein hohes Gut“

          Dr. Haya Shulman leitet die Abteilung Cybersecurity Analytics und Defences am Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt. In diesem Jahr wurde die gebürtige Israelin mit dem ersten Platz beim hochdotierten Deutschen IT-Sicherheitspreis ausgezeichnet. Im Interview spricht sie über die Vorgehensweise von Cyberkriminellen und zeigt auf, wie wichtig es für Unternehmen ist, einen Notfallplan in der Schublade zu haben.
          Täuschend echte Nachrichten: Phishing-E-Mails sind heutzutage zum Teil so gut gemacht, dass man nur beim genaueren Hingucken etwas bemerkt.

          : Mit einem Klick in der Falle

          Phishing-E-Mails sind ein Dauerbrenner der Cyberkriminalität. Aktuell erleben die oftmals täuschend echten Nachrichten aus vermeintlich seriöser Quelle sogar so etwas wie eine kleine Renaissance.
          Gravierende Auswirkungen: Am Haupteingang zum Universitätsklinikum Düsseldorf fährt ein Krankenwagen vorbei. Nach dem umfangreichen IT-Ausfall an der Uniklinik im September 2020 dauert die schwierige Suche nach den Hackern weiter an.

          : Schutzmechanismen gegen Verschlüsselungstrojaner

          Ferngesteuerte, digitale Erpressung mittels spezieller Erpressersoftware ist inzwischen eine der größten Bedrohungen für die Cybersicherheit weltweit. Betroffen sein kann jedes Unternehmen, wichtig sind eine schnelle Reaktion und eine gute Vorbereitung für den Ernstfall.