Matthias Schranner shares his negotiating experiences when dealing with cybercriminals in the interview with Der Spiegel.
Kindly note that the article is available in the German language.
Hacker der Gruppe REvil haben hunderte Unternehmen weltweit per Software lahmgelegt und fordern Lösegeld. Das Geschäft der Kriminellen boomt, kleinere Firmen sind oft überfordert.
Jörn Hamann steckt mitten in einer Katastrophe, aber er wirkt erstaunlich ruhig. » Am vergangenen Freitag um 18.30 Uhr ging es bei uns los «, erzählt der geschäftsführende Gesellschafter des Conform IT-Systemhauses. Die Firma aus Henstedt-Ulzburg bei Hamburg verwaltet die IT-Systeme für eine zweistellige Zahl mittelständischer Firmen. Eine von ihnen meldete sich am Freitag bei Conform, weil sich ihr Computersystem » komisch verhielt « , sagt Hamann. Etwa eine halbe Stunde später sei klar gewesen, dass die Rechner des Kunden gerade von Hackern gekapert worden waren, so wie die aller anderen Conform-Kunden auch. Jeder ihrer Computer, die zu diesem Zeitpunkt angeschaltet waren – und Serversysteme laufen meistens rund um die Uhr – wurden in dem Moment infiltriert. Eine Schadsoftware, sogenannte Ransomware, begann, alle Systeme zu verschlüsseln und weitgehend unbrauchbar zu machen. Für die digitalen Schlüssel zur Wiederherstellung verlangten die Täter Lösegeld (englisch: »ransom«) in Form der Kryptowährungen Bitcoin oder Monero. Ransomware zählt laut Bundeskriminalamt » zu den primären Bedrohungen für Unternehmen und öffentliche Einrichtungen «. Die Täter werden immer raffinierter, professioneller und dreister, denn das Geschäft lohnt sich. Fast 350 Millionen Dollar Lösegeld wurden 2020 gezahlt. Die geforderten Summen werden immer höher.
Der Ausgangspunkt der Infektionen bei Conform war eine Fernwartungssoftware des Anbieters Kaseya aus Miami, Florida. Kriminelle hatten Kaseya gehackt und ein manipuliertes Update verbreitet. Der Erpressungstrojaner verbreitete sich kurz vor dem Wochenende in 17 Ländern weltweit, bei Dienstleistern wie Conform und bei deren Kunden. »Der Schaden ist momentan nicht einschätzbar, aber definitiv nicht gering « , sagt Hamann. Er könne im achtstelligen Bereich liegen.
In Deutschland hat der Angriff mindestens zwei weitere IT-Dienstleister und deren Kunden erwischt; die Zahl der geschädigten Firmen geht hierzulande in die Hunderte. Weltweit, so heißt es bei Kaseya, gibt es » weniger als 1500 « Opfer. Die mutmaßlichen Täter behaupten, insgesamt eine Million Systeme infiziert zu haben. Von kleineren Unternehmen verlangten sie 45000 Dollar. Für den Generalschlüssel, der alle Opfer retten würde, wollten sie zunächst 70 Millionen Dollar haben.
REvil nennt sich die Gruppe, die den Angriff für sich reklamiert. Erstmals aufgetaucht ist sie im April 2019, zuletzt machte sie mit einem Angriff auf den Fleischfabrikanten JBS Schlagzeilen – und viel Geld. Elf Millionen Dollar zahlte das Unternehmen, um wieder an seine Daten zu kommen.
Die Entwickler von REvil werden in Russland vermutet, und sie vermieten ihre Schadsoftware sogar noch an andere Gruppen, verhandeln für die auch über das Lösegeld und teilen sich die Erträge. » Ransomware as a Service « ist in der Sicherheitsbranche kein zynischer Witz, sondern Alltag.
Und die Opfer? » Kein Backup, kein Mitleid «, wie Sicherheitsexperten sonst gern postulieren, greift zu kurz. Bei Conform etwa hatte es auch die Backups erwischt, das ist bei heutigen Ransomware-Angriffen nicht ungewöhnlich.
Dass solche Vorfälle komplett zu verhindern sind, glaubt Hamann nicht. Die Ransomware über einen angegriffenen IT-Dienstleister zu streuen, dessen Kunden wiederum selbst IT-Dienstleister sind, ist bislang ein seltener Ansatz, aber sehr effektiv. Hamann sagt: » Wir sind uns als Systemhaus keiner Schuld bewusst. Ich wüsste nicht, was wir an der Stelle hätten besser machen können.« Deshalb rät er Unternehmen, sich auf den schlimmsten Fall vorzubereiten, » solange noch nichts passiert ist «. Man müsse eben » mit der Gefahr leben «. Die Frage sei eigentlich nicht, ob man erpresst werde, sondern bloß, wann.
Ein Dienstleister für die Druckindustrie aus Norddeutschland, der auch zum Opfer von REvil wurde, hat es immerhin geschafft, die eigenen Systeme aus den Backups wieder zum Laufen zu bringen. Aber auch das gelang keineswegs problemlos. Es sei » ein richtiges Scheißwochenende « gewesen, » das ich niemandem wünsche, auch keinem Konkurrenten «, sagt jemand aus der Geschäftsleitung. Wenn die Firma Lösegeld gezahlt hätte, wäre es allerdings deutlich teurer geworden, die Erpresser hätten wohl eine sechsstellige Summe verlangt.
Obwohl Strafverfolger davon abraten, Lösegeld zu zahlen, tut es fast jedes dritte Unternehmen weltweit und stärkt damit das Geschäftsmodell der Täter. Mancher verhandelt auch mit den Kriminellen, etwa per Chat, um schnell wieder arbeitsfähig zu sein. » Wir versuchen, das Ganze innerhalb von zwei Tagen zu lösen «, sagt Matthias Schranner. Der Verhandlungsspezialist hat nach eigenen Angaben in bisher » drei richtig großen Fällen « von Ransomware-Angriffen versucht, mit den Tätern zu feilschen. » Die spionieren ihre Opfer zum Teil über Monate aus, und dann kommen sie mit einer Lösegeldsumme, die gerade so hoch ist, dass die Opfer nicht denken, es lohnt sich gar nicht, darüber zu reden.« Seiner Erfahrung nach ist die Summe » meist auch nicht verhandelbar oder nur in geringem Ausmaß «. Verhandelbar sei aber, dass im Vorfeld des Angriffs kopierte Kundendaten nicht an Wettbewerber gegeben werden – auch das ist eine übliche Drohung. Im Fall von Kaseya deutete REvil immerhin an, den Preis für den Generalschlüssel von 70 auf 50 Millionen Dollar zu senken.
Längst haben Versicherungen Cyberangriffe auf Unternehmen als Geschäftsfeld entdeckt. Kein Bereich ist laut einem Report des Versicherungsmaklers AON in den vergangenen fünf Jahren so stark gewachsen wie der für Cyberpolicen. Die Verträge decken Schäden durch Betriebsunterbrechungen oder Datendiebstahl ab, wenn Firmen Ziel eines Hackerangriffs werden. Erstattet wird oft auch das gezahlte Lösegeld. Mittlerweile aber wird den Versicherern das Risiko zu hoch. Sie schränken den zugesagten Schutz ein.
» Die Zahl der Attacken ist in den vergangenen zwölf Monaten noch einmal stärker gestiegen als in den Jahren zuvor «, sagt Thomas Sepp, Schadensvorstand bei der AGCS, dem Industrieversicherer der Allianz. » Und auch die Lösegeldforderungen sind zuletzt überproportional gestiegen.«
Bevor Anbieter wie die Allianz eine Cyberversicherung abschließen, durchleuchten sie die IT der abschlusswilligen Unternehmen.
» Für 60 bis 70 Prozent der Anträge können wir kein Angebot abgeben, weil wir die Risiken für unkalkulierbar halten oder unsere Anforderung an die IT-Sicherheit nicht erfüllt sehen«, sagt Sepp. Das zeige, wie groß der Nachholbedarf vor allem im Mittelstand sei. Laut einer Forsa-Umfrage für den Gesamtverband der Deutschen Versicherungswirtschaft erfüllt nur jede fünfte Firma die Basisanforderungen an die IT-Sicherheit, jede vierte war bereits Opfer einer Cyberattacke.
IT-Dienstleister gelten wegen der unabsehbar großen Folgen von Hackerangriffen als schwierig zu versichern, ebenso wie Telekommunikationsanbieter oder Banken. » Hochrisikobereiche der kritischen Infrastruktur wie Verkehr und Energieversorgung sind nicht gegen Cyberrisiken versicherbar, weil dort Kumulgefahren drohen «, sagt Sepp.
Als Reaktion auf die steigenden Risiken haben Anbieter von Cyberversicherungen die Prämien bereits im vergangenen Jahr um 30 bis 40 Prozent angehoben – bei sinkenden Deckungssummen.
Der Boom bei den Versicherungen hat nach Ansicht mancher Beobachter das Problem noch verschärft. Demnach zielen Hacker gern auf Firmen, die versichert und deswegen eher bereit sind, Lösegeld zu zahlen. Ob das stimmt, ist umstritten, ebenso wie der Umgang mit dem Problem. In Frankreich hat der Versicherer Axa vor Kurzem angekündigt, bei neuen Policen seine Kunden nicht mehr freizukaufen. Wenige Tage später wurden Axa-Büros in Thailand, Malaysia, Hongkong und auf den Philippinen Opfer von Ransomware-Angriffen.
Quelle: Spiegel Online
