ANZEIGE
Verlagsspezial

Lösegeld für gekaperte Rechner

Von Harald Czycholl
20.10.2021
, 16:27
Die Kosten durch Ausfallzeiten eines Netzes können ebenso hoch sein wie die gezahlten Lösegelder.
Ransomware-Angriffe gelten unter Hackern als lukratives Geschäftsmodell: Dabei werden Computer von Unternehmen und Behörden mit einer Schadsoftware verschlüsselt – und erst gegen eine Lösegeldzahlung wieder freigegeben. Wenn kritische Infrastruktur betroffen ist, kann es nicht nur teuer, sondern mitunter sogar lebensgefährlich werden.

Milch, Joghurt, Fleisch, Wurst und Obst wurden knapp, Gutscheine konnten nicht mehr eingelöst werden, Aktionsangebote wurden gestrichen: Im Frühjahr dieses Jahres legte ein Cyberangriff das IT-Netzwerk der Lebensmittelkette Tegut lahm. Betroffen waren laut Unternehmensangaben unter anderem die Warenwirtschaftsprogramme, die die Logistik steuern. Ein Krisenstab arbeitete gemeinsam mit IT-Spezialisten mehrere Tage daran, den Normalbetrieb in der Zentrale und den rund 280 Filialen wiederherzustellen.

ANZEIGE

Wer hinter der Attacke auf den Lebensmittelhändler steckte, ist unklar. Sicher ist: Die Cyberkriminellen wollten Geld. Es handelte sich nämlich um einen sogenannten Ransomware-Angriff. Dabei legen Hacker die Computersysteme ihrer Opfer mit einer bösartigen Verschlüsselungssoftware lahm, um anschließend für die Entsperrung hohe Summen zu erpressen. Die durchschnittliche Lösegeldzahlung beträgt dabei einer Studie des Cybersicherheits-Unternehmens Sophos zufolge weltweit 140000 Euro und in Deutschland 115000 Euro. International sind sogar Fälle bekannt, in denen die Täter zweistellige Millionensummen forderten und teilweise auch bekamen.

ANZEIGE

Ransomware als lukratives Geschäftsmodell für Cyberkriminelle

Denn wenn eine attackierte Organisation die Zahlung verweigert, wird es ebenfalls teuer. Die Kosten durch Ausfallzeiten eines Netzes können ebenso hoch sein wie die gezahlten Lösegelder, heißt es in einer aktuellen Analyse des Rückversicherers Munich Re. „Ransomware ist nach wie vor für Cyberkriminelle mit Abstand das lukrativste Geschäftsmodell“, sagt Martin Kreuzer, Experte für Cyberkriminalität bei Munich Re. Und das Problem wird stetig größer: Von einem Ransomware-Angriff der russischen Hackergruppe „REvil“ auf das IT-Unternehmen Kaseya waren im Sommer dieses Jahres gleich rund 1500 Firmen auf der ganzen Welt betroffen, die ihre Rechnersysteme und Netzwerke von Kaseya verwalten ließen. Die Hackergruppe nutzte eine Schwachstelle beim IT-Dienstleister, um dessen Kunden mit einem Verschlüsselungstrojaner zu attackieren. Das Perfide an diesem Angriffsweg: Die Kaseya-Software wurde von den betroffenen Computern als vertrauenswürdig eingestuft – und damit war auch der Weg für die von den Hackern präparierte Version frei. Die Erpresser forderten am Ende 70 Millionen Dollar Lösegeld in der Digitalwährung Bitcoin für einen Generalschlüssel zu allen betroffenen Computern. Wie viel Geld letztlich floss, ist unklar.

Wenige Wochen vor dem Kaseya-Angriff hatten die REvil-Hacker bereits den weltgrößten Fleischkonzern JBS attackiert. Das Unternehmen musste als Folge für mehrere Tage Werke unter anderem in den USA schließen. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen, um die Kontrolle über seine Computersysteme zurückzubekommen.

ANZEIGE
ANZEIGE

Cyberattacken werden immer spezialisierter

Ausgangspunkt derartiger Ransomware-Angriffe ist in den allermeisten Fällen eine E-Mail mit Virus-Anhang, den ein unbedarfter Mitarbeiter öffnet. „Mehr als neunzig Prozent aller Cyberangriffe starten immer noch mit einer ganz normalen E-Mail“, erklärt Cybercrime-Experte Kreuzer. „Verändert hat sich, dass die Angriffe immer spezialisierter werden.“ Ein Aspekt dabei sind echt aussehende Mails von Kriminellen, die ihre Adressaten persönlich ansprechen und sich als Vorgesetzte oder Geschäftspartner ausgeben. Die Corona-Krise hat das Problem verschärft, weil immer noch viele Mitarbeiter im Homeoffice tätig sind und sich vom meist schlechter geschützten heimischen Rechner aus ins Firmennetzwerk ihres Arbeitgebers einloggen.

ANZEIGE

Nach FBI-Zahlen war in den Vereinigten Staaten von Amerika allein im März 2020 die Zahl der Ransomware-Angriffe um fast 150 Prozent gestiegen. „Covid-19 wird unverändert in hohem Maß als Vehikel genutzt, um Cyberattacken zu starten, weil das Interesse daran sehr groß ist und sich dies nutzen lässt, um Malware zu verbreiten“, sagt Kreuzer.

ANZEIGE

Neben hohen finanziellen Schäden für die betroffenen Organisationen gehen von Ransomware-Angriffen auch Gefahren für die öffentliche Infrastruktur aus. Bei Angriffen auf Stromnetze, medizinische Systeme oder Transportmanagement können dabei sogar Menschenleben gefährdet sein. So wurden in Deutschland in den vergangenen Jahren beispielsweise Dutzende von Krankenhäusern auf diese Weise attackiert. Besonders folgenreich war dabei ein Ransomware-Angriff auf die IT des Universitätsklinikums Düsseldorf im vergangenen September: Hunderte Operationen und Behandlungen fielen aus, zudem wurde das größte Düsseldorfer Krankenhaus von der Notfallversorgung abgemeldet, konnte also nicht mehr von Rettungsdiensten angefahren werden.

Städtische Verwaltungen als Angriffsziel

Aber es sind längst nicht nur Unternehmen von den Angriffen betroffen. So wurde etwa die Verwaltung des 7000-Einwohner-Städtchens Dettelbach in der Nähe von Würzburg bereits 2016 Opfer eines Ransomware-Angriffs: Ein Verschlüsselungs-Trojaner legte die Server der Stadtverwaltung lahm, das Einwohnermeldeamt musste schließen, das E-Mail-System fiel aus, und die Stadtwerke hatten keinen Zugriff mehr auf die Kundendaten. Eine Anzeige auf den Computerbildschirmen der Mitarbeiter forderte zur Zahlung eines Lösegeldes auf, um das System wieder benutzbar zu machen. Am Ende entschied die Stadtverwaltung, die geforderte Summe – die allerdings lediglich im vierstelligen Bereich lag – zu zahlen, um die Computersysteme wieder nutzen zu können. Von einem solchen Vorgehen raten die Sicherheitsexperten allerdings ab: Zwar sei es nachvollziehbar, wenn sich Betroffene im Einzelfall zur Zahlung des Lösegeldes entschließen würden. Es gebe aber keine Garantie dafür, dass die Daten nach der Zahlung auch wirklich entschlüsselt werden könnten. Der Sophos-Studie zufolge bekamen nur acht Prozent der betroffenen Organisationen im Falle einer Zahlung alle Daten wieder. Knapp ein Drittel (29 Prozent) weltweit bekam nicht mehr als die Hälfte der verschlüsselten Daten zurück. Außerdem besteht das Risiko, dass man die Straftäter durch die Lösegeldzahlung zu einer Wiederholung animiert.

„Für alle Risikoträger ist es umso wichtiger, aus Vorfällen zu lernen und Cybersecurity-Trends, Bedrohungen und Schwachstellen zu erkennen“, betont Munich-Re-Experte Kreuzer. So werden die Dettelbacher Verwaltungsangestellten sicherlich nicht mehr unbedarft E-Mailanhänge von unbekannten Absendern öffnen – genauso wenig wie die Mitarbeiter des Lebensmittelhändlers Tegut und anderer betroffener Unternehmen. Denn aus Schaden wird man bekanntlich klug.

  Zur Startseite
ANZEIGE