https://www.faz.net/asv/it-sicherheit/loesegeld-fuer-gekaperte-rechner-17594406.html
Verlagsspezial

: Lösegeld für gekaperte Rechner

  • -Aktualisiert am

Die Kosten durch Ausfallzeiten eines Netzes können ebenso hoch sein wie die gezahlten Lösegelder. Bild: Andyworks/iStock

Ransomware-Angriffe gelten unter Hackern als lukratives Geschäftsmodell: Dabei werden Computer von Unternehmen und Behörden mit einer Schadsoftware verschlüsselt – und erst gegen eine Lösegeldzahlung wieder freigegeben. Wenn kritische Infrastruktur betroffen ist, kann es nicht nur teuer, sondern mitunter sogar lebensgefährlich werden.

          4 Min.

          Milch, Joghurt, Fleisch, Wurst und Obst wurden knapp, Gutscheine konnten nicht mehr eingelöst werden, Aktionsangebote wurden gestrichen: Im Frühjahr dieses Jahres legte ein Cyberangriff das IT-Netzwerk der Lebensmittelkette Tegut lahm. Betroffen waren laut Unternehmensangaben unter anderem die Warenwirtschaftsprogramme, die die Logistik steuern. Ein Krisenstab arbeitete gemeinsam mit IT-Spezialisten mehrere Tage daran, den Normalbetrieb in der Zentrale und den rund 280 Filialen wiederherzustellen.

          Wer hinter der Attacke auf den Lebensmittelhändler steckte, ist unklar. Sicher ist: Die Cyberkriminellen wollten Geld. Es handelte sich nämlich um einen sogenannten Ransomware-Angriff. Dabei legen Hacker die Computersysteme ihrer Opfer mit einer bösartigen Verschlüsselungssoftware lahm, um anschließend für die Entsperrung hohe Summen zu erpressen. Die durchschnittliche Lösegeldzahlung beträgt dabei einer Studie des Cybersicherheits-Unternehmens Sophos zufolge weltweit 140000 Euro und in Deutschland 115000 Euro. International sind sogar Fälle bekannt, in denen die Täter zweistellige Millionensummen forderten und teilweise auch bekamen.

          Ransomware als lukratives Geschäftsmodell für Cyberkriminelle

          Denn wenn eine attackierte Organisation die Zahlung verweigert, wird es ebenfalls teuer. Die Kosten durch Ausfallzeiten eines Netzes können ebenso hoch sein wie die gezahlten Lösegelder, heißt es in einer aktuellen Analyse des Rückversicherers Munich Re. „Ransomware ist nach wie vor für Cyberkriminelle mit Abstand das lukrativste Geschäftsmodell“, sagt Martin Kreuzer, Experte für Cyberkriminalität bei Munich Re. Und das Problem wird stetig größer: Von einem Ransomware-Angriff der russischen Hackergruppe „REvil“ auf das IT-Unternehmen Kaseya waren im Sommer dieses Jahres gleich rund 1500 Firmen auf der ganzen Welt betroffen, die ihre Rechnersysteme und Netzwerke von Kaseya verwalten ließen. Die Hackergruppe nutzte eine Schwachstelle beim IT-Dienstleister, um dessen Kunden mit einem Verschlüsselungstrojaner zu attackieren. Das Perfide an diesem Angriffsweg: Die Kaseya-Software wurde von den betroffenen Computern als vertrauenswürdig eingestuft – und damit war auch der Weg für die von den Hackern präparierte Version frei. Die Erpresser forderten am Ende 70 Millionen Dollar Lösegeld in der Digitalwährung Bitcoin für einen Generalschlüssel zu allen betroffenen Computern. Wie viel Geld letztlich floss, ist unklar.

          Wenige Wochen vor dem Kaseya-Angriff hatten die REvil-Hacker bereits den weltgrößten Fleischkonzern JBS attackiert. Das Unternehmen musste als Folge für mehrere Tage Werke unter anderem in den USA schließen. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen, um die Kontrolle über seine Computersysteme zurückzubekommen.

          Cyberattacken werden immer spezialisierter

          Ausgangspunkt derartiger Ransomware-Angriffe ist in den allermeisten Fällen eine E-Mail mit Virus-Anhang, den ein unbedarfter Mitarbeiter öffnet. „Mehr als neunzig Prozent aller Cyberangriffe starten immer noch mit einer ganz normalen E-Mail“, erklärt Cybercrime-Experte Kreuzer. „Verändert hat sich, dass die Angriffe immer spezialisierter werden.“ Ein Aspekt dabei sind echt aussehende Mails von Kriminellen, die ihre Adressaten persönlich ansprechen und sich als Vorgesetzte oder Geschäftspartner ausgeben. Die Corona-Krise hat das Problem verschärft, weil immer noch viele Mitarbeiter im Homeoffice tätig sind und sich vom meist schlechter geschützten heimischen Rechner aus ins Firmennetzwerk ihres Arbeitgebers einloggen.

          Nach FBI-Zahlen war in den Vereinigten Staaten von Amerika allein im März 2020 die Zahl der Ransomware-Angriffe um fast 150 Prozent gestiegen. „Covid-19 wird unverändert in hohem Maß als Vehikel genutzt, um Cyberattacken zu starten, weil das Interesse daran sehr groß ist und sich dies nutzen lässt, um Malware zu verbreiten“, sagt Kreuzer.

          Neben hohen finanziellen Schäden für die betroffenen Organisationen gehen von Ransomware-Angriffen auch Gefahren für die öffentliche Infrastruktur aus. Bei Angriffen auf Stromnetze, medizinische Systeme oder Transportmanagement können dabei sogar Menschenleben gefährdet sein. So wurden in Deutschland in den vergangenen Jahren beispielsweise Dutzende von Krankenhäusern auf diese Weise attackiert. Besonders folgenreich war dabei ein Ransomware-Angriff auf die IT des Universitätsklinikums Düsseldorf im vergangenen September: Hunderte Operationen und Behandlungen fielen aus, zudem wurde das größte Düsseldorfer Krankenhaus von der Notfallversorgung abgemeldet, konnte also nicht mehr von Rettungsdiensten angefahren werden.

          Städtische Verwaltungen als Angriffsziel

          Aber es sind längst nicht nur Unternehmen von den Angriffen betroffen. So wurde etwa die Verwaltung des 7000-Einwohner-Städtchens Dettelbach in der Nähe von Würzburg bereits 2016 Opfer eines Ransomware-Angriffs: Ein Verschlüsselungs-Trojaner legte die Server der Stadtverwaltung lahm, das Einwohnermeldeamt musste schließen, das E-Mail-System fiel aus, und die Stadtwerke hatten keinen Zugriff mehr auf die Kundendaten. Eine Anzeige auf den Computerbildschirmen der Mitarbeiter forderte zur Zahlung eines Lösegeldes auf, um das System wieder benutzbar zu machen. Am Ende entschied die Stadtverwaltung, die geforderte Summe – die allerdings lediglich im vierstelligen Bereich lag – zu zahlen, um die Computersysteme wieder nutzen zu können. Von einem solchen Vorgehen raten die Sicherheitsexperten allerdings ab: Zwar sei es nachvollziehbar, wenn sich Betroffene im Einzelfall zur Zahlung des Lösegeldes entschließen würden. Es gebe aber keine Garantie dafür, dass die Daten nach der Zahlung auch wirklich entschlüsselt werden könnten. Der Sophos-Studie zufolge bekamen nur acht Prozent der betroffenen Organisationen im Falle einer Zahlung alle Daten wieder. Knapp ein Drittel (29 Prozent) weltweit bekam nicht mehr als die Hälfte der verschlüsselten Daten zurück. Außerdem besteht das Risiko, dass man die Straftäter durch die Lösegeldzahlung zu einer Wiederholung animiert.

          „Für alle Risikoträger ist es umso wichtiger, aus Vorfällen zu lernen und Cybersecurity-Trends, Bedrohungen und Schwachstellen zu erkennen“, betont Munich-Re-Experte Kreuzer. So werden die Dettelbacher Verwaltungsangestellten sicherlich nicht mehr unbedarft E-Mailanhänge von unbekannten Absendern öffnen – genauso wenig wie die Mitarbeiter des Lebensmittelhändlers Tegut und anderer betroffener Unternehmen. Denn aus Schaden wird man bekanntlich klug.

          Topmeldungen

          Dr. Catarina Katzer ist Expertin auf dem Gebiet des Denkens im digitalen Zeitalter.

          Interview : „Kriminelle im Netz arbeiten mit feiner Psychologie“

          Jeder kann Opfer von Cyberkriminellen werden. Denn wer im Stress ist, klickt schnell auf irgendeinen Button, um weiterzukommen. Die Cyberpsychologin Catarina Katzer wundert das nicht: Wir sind im Digitalen einer kognitiven Überlastung ausgesetzt, so die Expertin.
          Hidden Champions sind attraktive Angriffsziele für Cyberkriminelle.

          : Cyberangriffe: Mittelständler im Visier

          Der deutsche Mittelstand mit seinen zahlreichen Hidden Champions ist ein attraktives Angriffsziel für Cyberkriminelle. Die Schäden sind immens. Dabei können schon einfache Maßnahmen dazu beitragen, sich zu schützen.
          Als Homeoffice gezwungenermaßen zur neuen Realität wurde, fehlte vielen Unternehmen die nötige Zeit für eine sichere Umsetzung.

          : Wenn das Homeoffice zur Cyberfalle wird

          Mitarbeiter im Homeoffice sind während der Corona-Pandemie zur beliebten Zielscheibe für Cyberkriminelle geworden. Was oft mit einer harmlos erscheinenden E-Mail beginnt, wird schnell zu einer komplexen Attacke.