Politik

Albtraum für Firmen und Kommunen Cyber-Erpresser kennen keine Grenzen

Pro Jahr erbeuten kriminelle Hacker Unsummen mit Erpressungen. Sie verschlüsseln Daten und verlangen dann Lösegeld - jüngstes Beispiel war der Landkreis Anhalt-Bitterfeld, der noch immer an den Folgen leidet. Teilweise sind Verwaltungen und Unternehmen selbst daran nicht unschuldig.

Es war ein Novum, als vor vier Wochen der Landkreis Anhalt-Bitterfeld den Katastrophenfall wegen eines Cyberangriffs ausrief. Kriminelle hatten die Verwaltung erpresst und massenweise Daten verschlüsselt. Erst gegen ein Lösegeld wollten sie diese wieder freigeben, doch der Landkreis blieb hart. Noch immer muss er mit den Folgen leben. Dem "Spiegel" zufolge wurden die Daten von 92 Personen im Darknet veröffentlicht. Außerdem müsse jeder Rechner einzeln neu aufgesetzt werden, sagte ein Sprecher. Rund 1000 PCs und Laptops müssen überprüft werden. Bis der Betrieb wieder normal läuft, könnten noch einmal vier bis fünf Wochen vergehen. Bundeswehr und das Bundesamt für Sicherheit in der Informationstechnik (BSI) helfen mit Experten.

Solche Angriffen mit Ransom-("Lösegeld"-)Ware häufen sich. Der Städte- und Gemeindetag sprach nach dem Vorfall von einer ständigen Gefahr für öffentliche Verwaltungen. Dabei geraten nicht nur diese ins Visier, sondern auch kritische Infrastruktur wie etwa Krankenhäuser. So wurde beispielsweise im vergangenen Jahr die Uniklinik Düsseldorf attackiert. Die Angreifer hatten es zwar offenbar eigentlich auf die Heinrich-Heine-Universität abgesehen und entschlüsselten Daten, nachdem sie von dem Tod einer Patientin erfahren hatten. Doch gab es 2020 Dutzende weiterer Angriffe auf Krankenhäuser.

Aber auch die deutsche Wirtschaft ist betroffen. Einer neuen Studie des Branchenverbands Bitkom zufolge ist hiesigen Unternehmen im vergangenen Jahr ein Schaden von 223 Milliarden Euro entstanden. Das sei mehr als doppelt so viel gewesen als noch in den Jahren 2018 und 2019. Dabei sei es nicht nur um Erpressungen gegangen, sondern auch um Diebstahl und Sabotage übers Internet. Das BSI schätzte Ende Juli, dass 2020 allein durch Lösegeldzahlungen ein Schaden in zweistelliger Milliardenhöhe entstanden ist. Es sind also nicht alle so standhaft wie der Landkreis Anhalt-Bitterfeld. Auch wenn das BSI ausdrücklich davon abrät, Lösegeld zu zahlen.

Studie: Neun von zehn Unternehmen angegriffen

"Die Täter verschicken Malware oder manipulierte Links in E-Mails. Ein Mitarbeiter klickt drauf und dann verbreitet sich der Angriff im Unternehmensnetz. Bis zur Verschlüsselung von Daten dauert es mitunter nur Tage oder Stunden", sagt BSI-Sprecherin Josephine Steffen zu ntv.de. "Mir sind keine Fälle bekannt, in denen man die Daten an einem Tag wiederhergestellt hat. Oft werden mehrere Tage oder Wochen gebraucht." In der Bitkom-Studie heißt es, dass im vergangenen Jahr neun von zehn Unternehmen (88 Prozent) angegriffen wurden. Schon seit Jahren verdienen kriminelle Banden mehr Geld mit Cyberangriffen als mit Drogen, wie BSI-Chef Arne Schönbohm bei ntv sagte.

Die Jagd auf die Täter ist schwierig. Eine Aufstellung des BKA ("Lagebild Cybercrime") zeigt, dass die Aufklärungsquote bei "Cybercrime im engeren Sinne" gering ist. Es gibt zwar Leuchtturm-Erfolge wie die Zerschlagung des Bot-Netzwerks "Emotet", doch werden nur gut ein Drittel der einschlägigen Straftaten aufgeklärt. Das ist deutlich weniger als der Gesamtdurchschnitt aller Straftaten von 58,4 Prozent, der aus der Kriminalstatistik 2020 hervorgeht. Die BKA-Zahlen zeigen zudem ein rasantes Wachstum der Fallzahlen. 2016 wurden noch gut 82.000 Taten erfasst, 2020 waren es schon mehr als 108.000. Darunter waren 3770 Fälle von "Computersabotage" und "Datenveränderung". Ransom-Ware komme das größte Schadenspotzenzial im Bereich Cybercrime zu. Ein Einfallstor für Kriminelle seien dabei auch die seit Pandemie-Beginn besonders häufig genutzten Fern-Zugänge zum Firmen-Netzwerk. Also Mitarbeiter, die von zu Hause aus arbeiten.

Manuel Atug vom Chaos Computer Club beschreibt gegenüber ntv.de, wie die Gangs vorgehen. Zwar agiere jede Gruppe anders, doch kundschafteten sie ihre Ziele genau aus. "Sie schauen sich an, wie viel Umsatz und wieviel Gewinn ein Unternehmen macht und schätzen dann ab, wo der Schmerzpunkt für das Unternehmen liegen dürfte", so der IT-Experte. Der Schmerzpunkt beschreibt den finanziellen Schaden, der entstehen würde, wenn das Unternehmen nicht zahlt. Schätzen die Erpresser diesen beispielsweise auf 3,8 Millionen Euro, könnten sie eine geringere Summe, vielleicht 3,5 Millionen Euro, als Lösegeld verlangen. "Vielleicht sagen sie dann noch: 'Wenn du in zwei Tagen bezahlst, kostet es nur 2,5 Millionen'", sagt Atug. Ein Druckmittel dabei ist die schrittweise Veröffentlichung von vor der Verschlüsselung kopierten Daten des Unternehmens.

Die Opfer stehen vor der Alternative: Entweder sie zahlen oder sie müssen mühselig ihre IT-Infrastruktur neu aufbauen oder schlimmstenfalls sogar insolvent gehen. Vor allem, wenn sie keine Sicherheitskopien ("Backups") ihrer Daten erstellt haben. "Als Sahnehäubchen versprechen die Erpresser ihren Opfern teilweise, dass sie sie nicht wieder angreifen werden und informieren sie mitunter über weitere Sicherheitslücken", sagt Atug. So sollten die Opfer besänftigt werden, damit sie nachträglich nicht doch noch die Polizei einschalten. Hoffnungen darauf, die verschlüsselten Rechner selbst zu retten, braucht man sich demnach kaum zu machen. "In sehr, sehr vielen Fällen kann man die Daten nicht mehr entschlüsseln", sagt Atug. Die Täter könnten grundsätzlich überall auf der Welt sitzen, gezahlt werde in Kryptowährungen wie Bitcoin.

Als ob das Werkstor offen stünde

Angesichts der Zunahme der Fälle, wie sie die Bitkom-Studie und die BKA-Zahlen zeigen, hat auch das BSI reagiert. Die Stellenzahl wurde in den vergangenen Jahren auf 1500 verdoppelt. "Wir unterstützen die Kritischen Infrastrukturen wie Energieversorger oder Krankenhäuser", sagt BSI-Sprecherin Steffen. Die Behörde testet aber auch mit dem "Cyber-Sicherheitsnetzwerk" Hilfsangebote für kleine und mittlere Unternehmen. Sie empfiehlt Unternehmen, aber auch Privatleuten neben sicheren Passwörtern, Backups auf externen Festplatten oder der Cloud zu machen und immer sofort die Sicherheitsupdates einzuspielen.

Das BSI beobachtet zwar ein wachsendes Problembewusstsein, laut Chaos Computer Club ist es aber noch nicht groß genug. So gibt es Atug zufolge zwar Unternehmen und Verwaltungen, die in Sachen IT-Sicherheit vorbildlich sind. Doch andere seien eben auch "sehr schlecht und desolat". Manche seien oft so ungesichert, als ob sie ihr Werkstor weit geöffnet hätten und jeder direkt in die Produktion laufen könnte. Öffentliche Einrichtungen hätten dabei das Problem, dass sie nach öffentlichem Tariflohn zahlen müssten. Dadurch seine Fachkräfte mitunter unterdurchschnittlich ausgebildet und Stellen blieben unbesetzt. "Dieses Defizit haben wir an vielen Stellen."

Der IT-Experte fordert eine bessere Ausbildung und Ausstattung von Polizisten und bessere Bildungsangebote in der Breite, um Wissenslücken zu schließen. "Der Wandel von der Industrie- zur Informationsgesellschaft spiegelt sich null und nada in der Bildungspolitik wider", kritisiert er. "Wenn man den Leuten weder Medienkompetenz, IT-Know-how noch die Ethik drum herum beibringt, stehen wir in der Breite unwissend dar. Es sind definitiv super Zeiten für Kriminelle."

Quelle: ntv.de, mit dpa/AFP

ntv.de Dienste
Software
Social Networks
Newsletter
Ich möchte gerne Nachrichten und redaktionelle Artikel von der n-tv Nachrichtenfernsehen GmbH per E-Mail erhalten.
Nicht mehr anzeigen