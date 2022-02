Hacker-Angriffe auf Firmen in SH: Was man über die Täter weiß Stand: 17.02.2022 12:00 Uhr Die Kriminellen erpressen viel Geld von Firmen, deren IT-Systeme sie übernommen haben - und sie werden immer professioneller. Beobachter sprechen von einer eigenen Industrie.

von Daniel Kummetz und Sophia Stritzel

Meist beginnt der Angriff mit einer E-Mail. Ein Klick auf einen Link oder eine angehängte Datei - und schon ist Schadsoftware auf dem Computer. Sie ist so etwas wie ein ungebetener Gast und startet ihr Programm: Sie sammelt zunächst Informationen über die Dateien auf dem Rechner, Sicherheitslücken und das Netzwerk, um sich dann weiter vorzuarbeiten, andere Software nachzuladen und irgendwann auf Kommando Rechner, Server oder ganze Systeme zu verschlüsseln.

Nur eine Datei lässt sich dann noch ohne Probleme öffnen - oder ein Fenster erscheint auf dem Bildschirm: Die Nachricht der Angreifer. Sie hinterlassen Kontaktdaten, bieten die Entschlüsselung an – gegen die Zahlung eines Lösegelds. Andernfalls drohen sie auch schon mal mit der Veröffentlichung der Firmen-Interna. Die Summe erfahren die Opfer per Mail.

"Das ist kein Hobby, das ist eine Industrie"

Wer von einem Angriff mit Ransomware betroffen ist, muss mit professionellen Kriminellen verhandeln. "Früher hat man sich immer vorgestellt, dass ein Angreifer nachts in seiner Kammer sitzt, ganz alleine in Unterhose, mit Chips an der Seite, und Rechner übernimmt - das ist ein völlig falsches Bild heutzutage", sagt Martin Seeger, einer der Gründer des Kieler IT-Sicherheitsunternehmens NetUse. "Das ist eine Industrie. Das ist kein Hobby, das ist kein Nebenjob, das ist der Erwerbszweig für Hunderte, wenn nicht gar für Tausende Menschen." Seeger und seine Kollegen versuchen, solche Angriffe bei ihren Kunden im Vorhinein zu verhindern – helfen aber, wenn es zu einem entsprechenden Vorfall kommt, den Schaden zu begrenzen.

Die Erpresser gehen arbeitsteilig vor, erzählt Seeger. Es gebe neben den Programmierern auch Spezialisten, die E-Mails im richtigen Tonfall schreiben, Menschen, die in Systeme eindringen, Analysten, die mögliche Opfer bewerten. Und manche Angreifer-Gruppe betreibe sogar eigene Callcenter, die Erpressungsopfern helfen, beim Kauf der Bitcoins oder der Entschlüsselungssoftware.

Kriminelle verkaufen sich gegenseitig ihre Dienstleistungen

Die Spezialisten gehören nicht unbedingt alle zu einer Gruppe: Im Darknet verkaufen sie sich gegenseitig ihre Dienstleistungen, versteigern Zugänge zu Netzwerken und verkaufen erbeutete Daten. Selbst die Angriffssoftware wird nicht nur von den erfahrenen Programmierern eingesetzt, berichtet Lars Oeffner, Leiter der Cybercrime-Abteilung beim Landeskriminalamt. Andere Kriminelle können sie mieten, inklusive Service-Paket. Das Modell heißt "Cybercrime as a Service". Das sei der aktuelle Trend, sagt Oeffner.

Diese Entwicklung hat Einfluss auf die Qualität der Angriffe: Vor einigen Jahren waren es noch private Computer, die massenhaft verschlüsselt wurden und deren Entschlüsselung für vergleichsweise überschaubare Summen angeboten wurden. Heute gehen die Angreifer sehr gezielt vor, Beobachter sprechen von einer Großwildjagd (big game hunting). Es werden Firmen angegriffen, die den Kriminellen lukrativ erscheinen – mit sehr guten E-Mail-Fälschungen, technisch anspruchsvollen Angriffen und individuell auf die finanzielle Situation des Unternehmens angepasste Lösegeldforderung - schnell mal in Millionenhöhe. Doch attraktiv sind nicht nur Großkonzerne, auch Schulverbände, Einrichtungen aus dem Gesundheitsbereich oder sogar der Behindertenhilfe wurden angegriffen.

LKA: "Zurzeit überrollt uns das Phänomen"

Die Zahl der Unternehmen und Organisationen, die Opfer einer solchen Ransomware geworden sind, nehme spürbar zu, berichten Behörden und Unternehmen, die sich mit IT-Sicherheit beschäftigen - auch in Schleswig-Holstein. "Zurzeit überrollt uns das Phänomen deutschlandweit, EU-weit, weltweit", sagt LKA-Mann Oeffner.

Das Geschäftsmodell ist lukrativ. Es lässt sich viel Geld erpressen. Die Spuren lassen sich durch die Organisation im Darknet und Abwicklung der Lösegeldzahlungen über Kryptowährungen verschleiern. Die Aufklärungsquote ist gering – sie liegt bei ein bis zwei Prozent, schätzt Oeffner.

Fälle werden nicht gesondert erfasst

Belastbare Zahlen für das ganze Land gibt es nicht, auch nicht bei der Polizei: In der Kriminalitätsstatistik werden solche Vorfälle nicht gesondert erfasst. So hat das LKA nur die Zahlen der eigenen Einheit, die sich um die besonders schweren Fälle kümmert – 2020 ermittelte die Cybercrime-Abteilung zehn Mal im Zusammenhang mit Ransomware, 2021 schon 126 Mal.

Dem Unabhängigen Landeszentrum für Datenschutz müssen Datenpannen gemeldet werden, wenn Fremde auf personenbezogene Daten zugreifen konnten – und ein Risiko für die Betroffenen besteht. Manche Ransomware-Angriffe fallen in diese Kategorie. 2021 gab es 649 solcher Meldungen, 2020 waren es noch 406. Doch den Behörden selbst ist klar: Nur ein Bruchteil der Vorfälle wird gemeldet oder angezeigt.

Täter kommen laut LKA oft aus Russland oder der Ukraine

Trotz der schwierigen Situation für die Ermittler ist zumindest grob bekannt, wo die Angreifer meist herkommen: "Wenn man dann jemanden ermittelt hat – und das ist schon sehr schwierig - sitzt er oft im Ausland, gerade in den ehemaligen GUS-Staaten, Russland zum Beispiel oder in der Ukraine", sagt LKA-Mann Oeffner. Da gebe es "wenig bis gar keine Möglichkeiten" für die Ermittler – wegen fehlender Rechtshilfeabkommen. Oeffner verweist dabei auch auf die Vermutung einiger internationaler Sicherheitsbehörden, dass die Täter geduldet werden, solange sie die Staaten selbst nicht angreifen oder Firmen aus diesem Land. IT-Sicherheitsspezialist Seeger sieht noch einen anderen Grund für diese Standorte: Dort gebe es eine gute mathematisch-naturwissenschaftliche Ausbildung, die Löhne und die Arbeitsmöglichkeiten für die Leute seien aber nicht so gut.

Wie sich Unternehmen schützen können

Es kommt also vor allem drauf an, sich selbst zu schützen – vor allem als Unternehmen, aber auch als Privatperson. Oeffner rät dazu, sich richtig um die IT-Sicherheit zu kümmern: Das heißt zuallererst, die Systeme müssen auf dem aktuellen Stand sein. "Wenn es Updates gibt, müssen die eingespielt werden." Der Grund: Sie schließen oft Sicherheitslücken. Auch lassen sich Netzwerke so planen, dass Bereiche abgeschottet sind. Wenn es also einen erfolgreichen Angriff gibt, ist nur ein Teil betroffen. Außerdem sei es wichtig, die Mitarbeitenden immer wieder zu sensibilisieren und zu schulen. Seeger rät seinen Kunden, die Mitarbeitenden stark miteinzubeziehen – und klar zu machen, dass niemand entlassen oder anders bestraft wird, nur weil er wegen eines falschen Klicks Schadsoftware ins Haus geholt hat.

"Die haben einen Fehler gemacht, aber häufig ist es ein verständlicher Fehler, weil der Angreifer gut gearbeitet hat", sagt Seeger. "Es ist wichtiger, Mitarbeitern zu sagen: Wenn so etwas vorgekommen ist, passiert euch nichts. Aber sagt uns Bescheid." Denn Tipps aus den Unternehmen seien die wichtigsten Hilfsmittel, die IT-Sicherheitsleute hätten. Denn bei entsprechenden Hinweisen können die Sicherheitsleute noch etwas tun: den Angriff unterbrechen. Fällt der nämlich zu spät auf, wird das deutlich schwieriger. Von Ransomware verschlüsselte Daten können auch Spezialisten nicht wiederherstellen.

