Cyberkriminalität, insbesondere Ransomware, ist ein riesiges Business mit professionellen Strukturen geworden. Doch auch die Geopolitik kriegt die Cyberunsicherheit immer stärker zu spüren.
Ransomware | Big Game Hunting | Cyberkrieg
Blitzzusammenfassung_ (in 30 Sekunden)
- Ransomware-Attacken erleben derzeit ein spektakuläres Wachstum. Dabei handelt es sich um Cyberattacken, bei welchen die Angreifer Lösegeld vom Opfer fordern.
- Während die Zahl der Angriffe gegen Privatpersonen zurückgeht, explodieren die Angriffe auf Unternehmen regelrecht – betroffen sind KMUs wie auch Megakonzerne.
- Wie hoch die Kosten durch Ransomware genau sind, ist unklar. Doch Konsens ist, dass sie signifikant ausfallen.
- Die Angreifer treten dabei zunehmend professionell auf. Nicht nur ihre Technologie verbessert sich – auch ihr Geschäftsmodell und ihr… Kundenservice.
- Die meisten Täter scheinen in Ländern wie Russland zu sitzen, wo ihre Präsenz von den Behörden mindestens toleriert zu sein scheint – solange bestimmte Vorgaben erfüllt sind.
- “Cyberunsicherheit” erreicht auch die Geopolitik: Staaten nutzen die digitale Welt, um sich Vorteile zu verschaffen und Rivalen zu schaden.
- In einigen Fällen nimmt das die Dimensionen eines regelrechten Schattenkriegs an.
- Das Problem – sowohl die kommerzielle als auch die geopolitische Ebene – wird inzwischen global erkannt. Staaten und Firmen rüsten auf.
Ransomware_
Die dunkle Seite der Digitalisierung
Digitale Raubüberfälle haben ihren Konterparts in der echten Welt so einiges voraus. Sie finden völlig still, heimlich und unbemerkt von der Öffentlichkeit statt – und sorgen zugleich für sensationellen Radau. Als am 7. Mai die Colonial Pipeline in den USA Opfer einer Ransomware-Attacke wurde, legte das Teile der Ölversorgung der amerikanischen Ostküste lahm. Die Folge waren eine Notstandserklärung der US-Regierung und Hamsterkäufe der Bevölkerung, welche ironischerweise selbst zur befürchteten Treibstoffknappheit führten.
Eine Ransomware-Attacke ist eine Spielart der Cyberkriminalität und dürfte für viele in einer nebulösen Linie mit Begriffen wie Phishing, DDoS oder Malware stecken. Der qualitative Unterschied ist, dass sich Ransomware-Attacken wie kaum etwas anderes für Wirtschaftskriminalität eignen. Hacker infiltrieren die Computerinfrastruktur eines Zielunternehmens und legen sie lahm oder klauen Daten. Das Unternehmen hat nun keinen Zugriff mehr auf diese Daten oder kann seinen Geschäftsbetrieb nicht aufrechterhalten. Zugang bekommt es erst wieder, wenn es ein Lösegeld (ransom) zahlt. Colonial Pipeline überwies seinen Angreifern innerhalb weniger Stunden 4,3 Millionen Dollar Lösegeld.
Wer denkt, dass Ransomware eine exotische Angelegenheit und Material für nerdige Hackerfilme ist, verkennt die neue Realität. Das Phänomen hat spektakuläre Ausmaße erreicht, macht sich auf einer volkswirtschaftlichen Ebene bemerkbar, könnte die Digitalisierung verlangsamen, treibt Regierungen um und bringt gar die Geopolitik in ungekanntes Terrain. Ransomware ist allerdings nur die Speerspitze einer neuen Ära von Cyberunsicherheit.
Gut zu wissen: Die erste Ransomware-Attacke erfolgte 1989 mit einem Virus auf Disketten. Ein Forscher hatte eine Software vertrieben, welche angeblich die AIDS-Gefahr einer Person mittels eines Fragebogens erkennen sollte. Stattdessen befand sich Malware auf der Diskette.
Krankenhäuser, Pipelines, Fabriken
Seit dem 14. Mai müssen sich Patienten in Irland auf längere Wartezeiten einstellen. Das Gesundheitssystem des Landes (HSE) war Opfer einer Ransomware-Attacke geworden, die Täter verlangten 20 Millionen Dollar. Das HSE lehnte ab und führte für seine Verwaltung kurzerhand wieder Stift und Papier ein. Die Hacker gaben das Computersystem des HSE zwar nach einigen Tagen wieder frei, gewissermaßen pro bono, doch noch fünf Wochen später operiert es nur eingeschränkt – und die Hacker drohen nach wie vor mit der Weitergabe privater Daten, sollte sich Irland nicht zur “Lösung der Situation” bereiterklären.
Der Vorfall sorgte kaum noch für internationale Schlagzeilen, war doch wenige Tage zuvor Colonial Pipeline in den USA zum Opfer geworden. Einige Tage später folgte der weltgrößte Fleischhersteller JBS (11 Millionen Dollar Lösegeld). Bereits im April waren Apple und ein taiwanesischer Zulieferer betroffen (50 Millionen Dollar). Die Liste geht weiter und weiter: Allein in der Gamingbranche waren jüngst die Konzerne Capcom, CD Project Red und EA betroffen (letzteres womöglich keine Ransomware-Attacke, sondern nur klassischer Diebstahl).
Es sind allerdings längst nicht nur große Konzerne, die das Opfer von Lösegeldangriffen werden – im Gegenteil. Kleinere Unternehmen haben oft noch weniger Cybersicherheitsinfrastruktur, sind also einfache Ziele. Ob Apple das geforderte Lösegeld gezahlt hatte, ist unbekannt, doch die Gruppe dahinter attackierte nur Wochen darauf ein kleines 50-Mann-Unternehmen in Albuquerque, New Mexico. Auch die Zahlen zeigen diese Tatsache: 30 Prozent aller geforderten Lösegelder sind unter 500 EUR, nur 6 Prozent sind über 50.000 EUR.
Big Game Hunting_
Im Wirbel der Schlagzeilen geht die Größe des Problems verloren. Gelegentliche Mega-Attacken wie WannaCry, welches 2017 immerhin 230.000 Computer in 150 Ländern infizierte, brechen durch die Kakophonie. Wer weiter dahinter blickt, erkennt eine besorgniserregende Entwicklung. Die Zahl der gesamten Ransomware-Attacken ist zwar seit 2017 stetig gesunken, zuletzt um 29 Prozent auf 1,1 Millionen im Jahr 2020, doch das liegt vor allem an individuellen Nutzern. Diese sind erstens deutlich vorsichtiger geworden und zweitens einfach nicht mehr sonderlich lukrativ. Der Fokus hat sich deswegen auf Unternehmen verschoben. Gezielte Ransomware-Attacken, also mit dediziert auf Zielfirmen zugeschnittener Schadsoftware anstelle von “one size fits them all”, sind laut Internetsicherheitsfirma Kaspersky zwischen 2019 und 2020 von 985 auf 8.538 Fälle gestiegen – plus 767 Prozent. Doch selbst das dürfte nur an der Oberfläche kratzen, denn mangels klarer und einheitlicher Regeln zeigt längst nicht jedes Unternehmen Ransomware-Fälle an.
Gut zu wissen: In der Szene werden gezielte Ransomware-Attacken “big game hunting” genannt – Großwildjagd.
In Deutschland waren laut eigenen Aussagen 67 Prozent der Firmen im Jahr 2020 von Ransomware betroffen. Das ist eine extrem hohe Zahl. Nur 36 Prozent entschieden sich zu zahlen. Nicht zu zahlen kann Sinn ergeben: Erlangt eine Firma die Reputation, ihre Lösegelder zu begleichen, macht sie sich attraktiver für zukünftige Angriffe – so erging es laut einer Studie von Cyberason ganzen 80 Prozent der Opfer. Die bekannte “Wir verhandeln nicht mit Terroristen”-Logik.
Wie hoch der Gesamtschaden durch Ransomware-Attacken ist, ist schwer zu sagen. Auch hier sind die fehlenden Dokumentationsregeln im Weg. Umfragen wie von Cybereason (unter 1.263 Cybersecurity-Fachleuten) bieten allerdings Hinweise: Die Hälfte der betroffenen Firmen in Deutschland, Großbritannien und den USA spricht von “signifikanten” Umsatzeinbußen durch Ransomware. Rund 17 Prozent der deutschen Firmen zahlte Lösegelder zwischen 350.000 und 1,4 Millionen USD, in Großbritannien waren es 51 Prozent, in den USA 55 Prozent. Rund ein Drittel entließ Führungskräfte, welche als verantwortlich für die Attacke gesehen wurden. Etwa 19 Prozent der deutschen Firmen entließen aufgrund finanzieller Engpässe nach einer Attacke Mitarbeiter, in Großbritannien und den USA waren es etwa ein Drittel. Besonders drastisch: 20 Prozent der befragten deutschen Firmen mussten ihre Geschäftstätigkeit nach einer Ransomware-Attacke einstellen, in Großbritannien und den USA erneut ein Drittel. Ransomware droht, die Digitalisierung auszubremsen.
Ransomware as a Service
Das Wachstum der Cyberkriminalität ergibt dabei aus mehreren Gründen Sinn. Einmal ist sie deutlich lukrativer geworden. Immer größere Teile der Weltwirtschaft haben sich in die digitale Welt verschoben; wichtige Daten sind in der Cloud abgelegt, zentrale Geschäftsprozesse laufen über digitale Plattformen. Der globale Homeoffice-Schub hat mehr Einfallstore geschaffen, da Firmen rasant digitalisieren mussten und unvorsichtige Mitarbeiter ein gefundenes Fressen für das Einschleusen von Schadsoftware sind. Durch das “Internet der Dinge” befinden sich mögliche Ziele heute zudem beinahe überall – längst nicht alle davon gut gesichert. Stelle dir ein Auto vor, welches von Hackern abgeriegelt wird und erst nach Lösegeldzahlung wieder freigeschaltet werden kann.
Selbst das Lösegeld ist inzwischen digital, was den Kriminellen zugutekommt. Kryptowährungen sind immer beliebter für Ransomware-Attacken. Die US-Firma Chainalysis schätzt für 2020 rund 350 Millionen USD an Krypto-Lösegeldern, viermal so viel wie im Vorjahr. Viele Angreifer setzen dabei zwar auf Platzhirsch Bitcoin, doch dieses ist mit seiner öffentlichen Blockchain, in welcher Transaktionen aufgezeichnet werden, nicht unbedingt diskret genug. Jüngere Kryptowährungen, welche mehr auf Privatsphäre – und damit weniger auf Transparenz – setzen, sind drum häufig das Mittel der Wahl.
Gut zu wissen: Die US-Behörden konnten etwa die Hälfte des Lösegelds der Colonial-Pipeline-Attacke wieder sicherstellen, indem sie die Zahlungen auf der Bitcoin-Blockchain nachverfolgten.
Die hohe Lukrativität des Geschäfts erlaubt es, die Attacken immer ausgeklügelter zu gestalten und die Technologie hinter ihnen zu optimieren. Doch nicht nur das, auch die Strukturen der Kriminellen werden immer ernsthafter. Die Täter selbst sitzen womöglich, ganz gemäß dem Hackerfilm-Stereotyp, noch immer in Unterwäsche vor Bildschirmen in irgendwelchen Kellern, doch die Operationen dahinter stehen großen Konzernen nicht mehr viel nach. So haben viele Banden inzwischen regelrechte PR-Abteilungen; reinvestieren Profite, um ihre Technologie stetig zu verbessern; und betreiben “Kundendienste”, von denen sich manch legitimes Unternehmen eine Scheibe abschneiden könnte: Die Kriminellen leiten das Opfer durch einen Zahlungsprozess, um auf das abgeriegelte System oder die entführten Daten wieder Zugriff zu erhalten. Gibt es irgendwo Schwierigkeiten, steht ein Kundenchat zur Verfügung. Manche Hacker geben ihren Opfern am Ende sogar Sicherheitstipps, um zukünftige Angriffe zu vermeiden. Thank you for doing business with us.
Sie machen sogar regelrechte Marktforschung: Bei einem Angriff auf die Modemarke FatFace untersuchten die Hacker die gestohlenen Daten, um mehr über die Cyberkriminalität-Versicherung des Unternehmens herauszufinden – und legten dann auf dieser Basis die Höhe des Lösegelds fest.
Einige Banden bieten inzwischen gar “RaaS” an – “Ransomware as a Service”. Das ist eine Abwandlung von “Software as a Service” (SaaS), also Software im Abomodell. RaaS bedeutet nichts anderes, als das Hacker ihre erfolgreiche Schadsoftware kurzerhand als Franchise an andere Kriminelle verkaufen, mal für eine monatliche Gebühr, mal für eine Profitbeteilung.
Gut zu wissen: Woher wissen Unternehmen, dass die Kriminellen ihren Teil des Deals einhalten? Hauptsächlich Spieltheorie: Ist eine Hackergruppe dafür bekannt, ihre Versprechen nicht einzuhalten, kann sie mit keinem Lösegeld mehr rechnen. Transaktionell-ehrliche Kriminelle haben hingegen eine bessere Verhandlungsposition. Theoretisch. Dass das längst nicht immer gilt, zeigen die Zahlen: Laut Cybersicherheitsfirma Datto erhielten drei Viertel der Ransomware-Opfer 2017 nach Zahlung wie versprochen Zugriff. Bis 2020 stieg der Wert (in einer anderen Umfrage) auf 92 Prozent. Womöglich ein weiterer Hinweis auf die wachsende Professionalität der Kriminellen.
Cyberkrieg_
Cybertoleranz
So opportunistisch Ransomware-Attacken gegen Unternehmen sein mögen, so sehr folgen sie doch einer politischen Logik. Denn die Täter sitzen in fast allen Fällen in Osteuropa oder in Ostasien. “Conti”, die Ransomware hinter dem Angriff auf Irlands Gesundheitssystem, dürfte beispielsweise von einer russischen Hackergruppe namens Wizard Spider stammen. Laut dem Thinktank Royal United Services Institute saßen 60 Prozent von 1.200 Ransomware-Opfern 2020 in den USA; hingegen kein einziger in Russland und den meisten anderen Post-Sowjetstaaten.
Die Herkunft der Täter und die ihrer Opfer wirft Fragen über ihre Assoziation mit den jeweiligen Staaten auf. Die Mehrheitsmeinung unter Experten ist, dass die Gruppen nicht direkt von Moskau, Peking und Co. gesteuert werden – dafür aber durchaus toleriert. Darauf weisen einige Dinge hin. Einmal die Tatsache, dass kaum ein Opfer der bekanntesten Ransomware-Attacken in Russland oder China ansässig ist, obwohl sich auch dort Unternehmen mit maroder Sicherheitsinfrastruktur fänden. Zudem ist die Programmierung der Software verdächtig. Wizard-Spider-Schadprogramme deinstallieren sich beispielsweise selbst, wenn sie Russisch als Systemsprache oder eine IP-Adresse in den Ländern der ehemaligen Sowjetunion entdecken.
Der Grund dafür ist einleuchtend. Für die betreffenden Regierungen ist es durchaus hinnehmbar, dass kriminelle Banden westliche Staaten irritieren und ihren Unternehmen schaden – solange eben heimischen Entitäten nichts zustößt. Zudem können die Behörden bei staatlichen Cyberoperationen wo benötigt auf die Expertise der Banden setzen.
Geopolitik in Digital
Nicht jede Schadsoftware hat allerdings mit Cyberkriminalität zu tun. Manchmal geht es eher um Cyberkrieg. Denn in der digitalisierten Ära lassen sich viele zentrale staatliche Funktionen statt mit Bomben auch einfach mit Code angreifen. Die Ziele sind wichtige Infrastruktur wie Häfen und Ölpipelines, “soziale Infrastruktur” wie das Gesundheitssystem, die Arbeitsfähigkeit von Behörden und die Integrität von Wahlen. So wurde die russische Invasion in Georgien 2008 von einer großen Cyberkampagne gegen die Kaukasusnation begleitet. Ist der Krieg noch nicht ausgebrochen, lassen sich die “Cybertruppen” bereits strategisch im System des Ziels positionieren und auf Wunsch eine Generalprobe unter Realumständen durchführen, indem ein kleinerer Sabotageakt durchgeführt wird. Mit Bomberstaffeln ist das deutlich schwieriger.
Gut zu wissen: Auch die fast schon altbackene, klassische Spionage erhält durch die Cyberunsicherheit neue Frische. Erlaubt die Digitalisierung schließlich eine derart effektive Informationsbeschaffung, dass es für “traditionelle” Spione (darunter auch Russlands amtierenden Präsidenten) wie Spionage auf Steroiden wirken muss. Einer der effektivsten KGB-Agenten aller Zeiten, Robert Hanssen, schmuggelte mehrere Tausend Seiten an US-Geheimdokumenten nach Russland – über 20 Jahre und unter höchstem Risiko. Die USA nennen ihn die “möglicherweise größte geheimdienstliche Katastrophe der amerikanischen Geschichte”. Heute lassen sich innerhalb weniger Wochen, Tagen oder Stunden Millionen an Seiten von Festplatten ziehen, ohne diesen auch nur nahekommen zu müssen.
Die Zahl der Fälle ist beeindruckend und mischt sich zu einem unübersichtlichen Potpourri aus bunten Namen. Da wäre NotPetya, eine mutmaßlich russische Cyberattacke gegen die ukrainische Energieversorgung, welche allerdings ungeplant in weiten Teilen der Welt Schaden anrichtete (und nicht mit der Ransomware Petya, auf welcher es basierte, verwechselt werden sollte). Das bereits genannte WannaCry, welches mutmaßlich vom nordkoreanischen Staat in die Welt gesetzt worden war. Oder Shamoon, welches den saudi-arabischen Staatskonzern Saudi-Aramco in die Knie zwang und womöglich Iran zugerechnet werden kann.
Solarwinds
Hervorzuheben ist SolarWinds, eigentlich ein Software-Hersteller, doch inzwischen untrennbar mit einer gigantischen Cyberattacke aus 2020 verbunden: Die Angreifer verschafften sich Zugriff auf Systeme von Microsoft, Softwareanbieter VMWare und SolarWinds. Da SolarWinds-Software in einer Vielzahl von Organisationen und Regierungsbehörden eingesetzt wird, konnten die Hacker Daten von zahlreichen US-Behörden, der NATO, dem EU-Parlament, der britischen Regierung und vielen weiteren Opfern sammeln – und zwar rund acht Monate lang, bis der Angriff auffiel.
SolarWinds ist besonders, weil es so groß war. Dutzende Regierungsbehörden waren betroffen, darunter offenbar Pentagon und Außenministerium. Auch zahlreiche amerikanische Firmen waren Opfer, darunter sehr viele Konzerne des Leitindex S&P 500. Betroffen waren nicht alle der 33.000 Kunden von SolarWinds, doch alle mussten ihre IT-Systeme nach dem Angriff kostspielig untersuchen. Die Täter sitzen nach Ansicht der US-Geheimdienste und westlicher Experten wie der Gruppe FireEye in Russland. Genauer soll es sich um den russischen Geheimdienst SVR handeln, in der Dreifaltigkeit mit GRU und FSB der unbekannteste der Dienste. Die Wut in den USA war groß: Richard Durbin, ein demokratischer Senator, sprach von einer russischen “Kriegserklärung” und einer “virtuellen Invasion”.
Gut zu wissen: SolarWinds war nicht der erste mutmaßliche Angriff des SVR: Der Geheimdienst soll sich bereits 2014/15 in die US-Regierung gehackt haben, erbeutete später dann mutmaßlich Dateien von der Demokratischen Partei und Präsidentschaftskandidatin Hillary Clinton.
Schattenkrieg
Das ist die große Frage bei Cyberangriffen. Was entspricht welchem realen Pendant? Ab wann kann von einer Kriegserklärung die Rede sein? Greift ein Staat die Stromversorgung eines anderen mit Bomben an, führt das unweigerlich zu Konflikt. Eine Cyberattacke hingegen, selbst wenn der betroffene Staat einen anderen lautstark zum Täter deklariert, wird bislang anders vergolten. Die Welt wandelt hier auf unbekanntem Terrain.
Nirgendwo sonst ähnelt der Cyberkrieg so sehr einem echten Krieg wie im Nahen Osten. Zwischen Jerusalem und Teheran mag noch keine Rakete geflogen sein, doch dafür so manch Virus. Die beiden Staaten führen einen kaum noch geheimen “Schattenkrieg” und Cyberattacken sind die Waffe der Wahl. Der erste bemerkenswerte Fall war Stuxnet 2010: Ein vermutlich israelisch-amerikanisches Virus, welches in eine iranische Nuklearanlage eingeschleust wurde und diese lahmlegte.
Zehn Jahre später erinnern reihenweise mysteriöse Sabotagevorfälle in Iran daran, dass der Schattenkrieg nicht vorbei ist. Dabei ist es fast spektakulär, für wie wenig Furore die Vorfälle sorgen: Iran hat mutmaßlich versucht, den Chloringehalt im israelischen Trinkwasser zu erhöhen; Israel legte im Gegenzug offenbar einen iranischen Hafen (€) lahm. Würde das nicht durch Viren sondern eben durch Truppen, Bomber oder selbst Spione passieren, wäre es ein internationaler Skandal. Der Cyberkrieg im Schatten sorgt hingegen medial nur für Achselzucken, wohl auch weil eine klare Attribuierung von Schuld kaum möglich ist. Eine “smoking gun”, also ein unwiderlegbares Beweisstück, gibt es nicht.
Zeit, zu handeln
Die Welt hat das Problem erkannt, lässt es sich in Anbetracht seiner schieren Größe auch kaum noch ignorieren. Als US-Präsident Joe Biden sich Mitte Juni mit seinem russischen Konterpart Wladimir Putin zum ersten persönlichen Gespräch traf, war Cybersicherheit eines der größten Themen. Nach der SolarWinds-Attacke sprach (damals President-Elect) Biden von der Notwendigkeit, nicht nur defensive, sondern auch offensive Cyber-Kapazitäten aufzubauen. Die CIA soll künftig gegen Hackergruppen weltweit vorgehen. Die US-Justiz soll Ermittlungen zu Ransomware-Attacken genauso stark priorisieren wie zu Terrorismus.
Auch die EU reagiert. Sie möchte innerhalb der nächsten zwei Jahre eine “Gemeinsame Cybereinheit” einrichten, welche Angriffe abwehren und den Informationsaustausch zwischen Mitgliedsstaaten verbessern soll. Cybersicherheit ist damit aus der Industriepolitik herausgenommen und zu einem eigenen Block der nationalen Sicherheit erhoben worden. Brüssel macht sich keine Illusionen darüber, woher die Attacken stammen: “Wir wissen, dass wir viele Feinde um uns herum haben, und wir wissen ziemlich gut, wer sie sind”, so Industriekommissar Thierry Breton.
Der frühere US-Verteidigungsminister Leon Panetta sah die späte Erkenntnis frühzeitig kommen. Er sprach bereits vor einem Jahrzehnt davon, dass es ein “Cyber Pearl Harbour” (mit Bezug auf den japanischen Überraschungsangriff auf die US-Militärbasis in Pearl Harbour 1941) benötige, damit Staaten die Wichtigkeit von Cybersicherheit verstünden. Im Jahr 2021 scheint es so, als könnte Cyber Pearl Harbour eingetreten sein. Die Frage ist nun allerdings, wer schneller aufrüsten kann: Staaten und Firmen, die vermeiden wollen, Opfer von Cyberangriffen zu werden – oder Kriminelle und ihre Unterstützer. Rechne in jedem Fall damit, noch öfter von Ransomware und mysteriösen Sabotagevorfällen zu lesen.