Digital
Wirtschaft

Das grosse Tabu der Cyberkriminalität: Erfolgreiche Erpresser

Alfred Heer, SVP-ZH, spricht zum Ordnungsantrag der SVP-Fraktion (23.9004) zur Videoansprache von Praesident Wolodymyr Selenski in Schweizer Parlament naechste 15 Juni, waehrend der Sommersession der  ...
Schweizer Betreiber kritischer Infrastrukturen müssen Cyberangriffe mit grossem Schadenspotenzial künftig melden. Einzig die SVP war im Nationalrat dagegen.Bild: keystone

Das solltest du über das grosse Tabu der Cyberkriminalität wissen

Firmen und auch Behörden sind zunehmend Ziele von Hackern. Die kriminelle Industrie, die dahintersteckt, ist riesig. Nur: Wissen und Sicherheitsdispositive fehlen, weil zu wenig über die Vorfälle gesprochen wird.
08.06.2023, 19:2208.06.2023, 20:44
Anna Wanner / ch media
Mehr «Digital»

Die Angriffe auf Firmen und öffentliche Infrastrukturen häufen sich. Im März schlägt die Kurve der Ransomware-Attacken weltweit nach oben aus: 438 Ereignisse zählte die Plattform Ransom-DB in einem Monat, sonst waren es in den letzten Jahren im Mittel 250 Angriffe.

Allerdings dürfte das nur die Spitze des Eisbergs sein. Denn die Plattform zählt einzig die Daten, welche die kriminellen Gruppen geklaut und im Darknet illegalerweise publiziert haben. Im Dunkeln bleibt die grosse Mehrheit der Angriffe, bei welchen die Opfer auf die Forderungen der Erpresser eingehen – und Lösegeld zahlen.

Bild

Die Häufung im März 2023 ist auf die Clop-Bande zurückzuführen:

Auch Schweizer Ziele sind unter Hacker-Gruppen höchst beliebt. Zu den Opfern zählten zuletzt namhafte Institutionen wie die Universität Zürich, die ABB, die SBB sowie das Erziehungsdepartement Basel-Stadt.

Letzte Woche mussten auch das Bundesamt für Polizei (Fedpol) sowie jenes für Zoll und Grenzsicherheit einräumen, dass Hacker ihre Daten im Darknet veröffentlichten. Der Angriff galt zwar nicht den Ämtern selbst, sondern dem IT-Dienstleiter Xplain, der diese bedient. Vom Leak betroffen waren aber wichtige Institutionen wie der Rüstungskonzern RUAG und die Kantonspolizeien.

Das Verlagshaus CH Media, welche diese Zeitung herausgibt, wurde im März ebenfalls attackiert – und erpresst. Die Angreifer hackten die IT-System der NZZ, welche CH Media beliefert. Daraufhin legten sie zunächst einzelne Systeme lahm, welche für die Produktion der Zeitung notwendig sind. So konnten über Wochen verschiedene Zeitungen nur eingeschränkt produziert und gedruckt werden.

Zwei Wochen nach der Verschlüsselung bekannte sich die Hacker-Gruppe Play zum Angriff, wenige Tage darauf verlangte sie Geld gegen Daten. Zu keinem Zeitpunkt ist Lösegeld geflossen.

Das ist typisch. Es gibt zwar verschiedene Formen der Kriminalität im Internet. In der Schweiz schlagen vor allem Betrugsdelikte oben aus, wie die Statistik des Nationalen Zentrums für Cybersicherheit (NCSC) zeigt. Doch nahmen die Meldungen zu Ransomware-Angriffen ab 2020 von 66 auf rund 160 in den letzten zwei Jahren stark zu.

Es sind dies Angriffe mit Verschlüsselungstrojanern («malware»), die zu einer Erpressung führen («ransom»). Der Fokus der Angreifer hat sich indes von Privatpersonen hauptsächlich auf Firmen verschoben, wie das NCSC angibt.

Bild

Schwachstelle Mensch

Dabei operieren Ransomware-Banden oft nach demselben Muster: Sie verschaffen sich über einen Mitarbeitenden Zugang zum System, entwerfen dafür zum Beispiel personalisierte E-Mails mit Angeboten oder interessanten Inhalten, die als Links oder Anhänge verschickt werden.

Sobald ein Opfer diese anklickt und seine Zugangsdaten eingibt, verschafft sich der Angreifer Zugang, nistet sich im Computer ein – und beginnt das Umfeld auszuspionieren. Sodann verschafft sich der Angreifer weiteren Zugang, etwa über einen Administrator, um in weitere Bereiche vorzudringen («lateral movement»).

Über diese Spionage-Technik gelangt der Angreifer an sensible Daten und beginnt sie herunterzuladen. In der Regel dauert dieser Prozess mehrere Wochen, gar Monate. Hat der Angreifer genügend Daten abgezogen, beginnt er mit der Verschlüsselung: Die Systeme kollabieren, der Zugang zum Computer wird verunmöglicht.

Im schlimmsten Fall geht gar nichts mehr. Falls der Angreifer nebst den laufenden Systemen auch die Sicherheitskopie (Backup) verschlüsselt hat, sind alle Daten verloren.

Darauf folgt die doppelte Erpressung («double extorsion»): Zuerst will der Angreifer Geld, um die Systeme wieder zu entschlüsseln. In einem zweiten Schritt verlangt er eine weitere Zahlung, um die Veröffentlichung sensibler Daten abzuwenden.

Grosse Dunkelziffer

Schätzungen zu erfolgreichen Erpressungen bei Ransomware-Angriffen will das NCSC keine angeben, es sei weder eine Ermittlungs- noch eine Strafverfolgungsbehörde.

Es ist ein Thema, worüber niemand gerne spricht – und es ist elementarer Teil des Problems:

IT-Sicherheitsexperten gehen davon aus, dass bei mindestens 50 Prozent, wahrscheinlich aber eher bei 75 Prozent der Angriffe tatsächlich Geld fliesst – und zwar viel.

Anhaltspunkte gibt es dazu: 2021 erklärte das NCSC, dass Schweizer KMU sich zu wenig schützten und immer wieder Opfer von Cyberangriffen werden – und dabei «nicht selten Lösegeld in sechs- oder siebenstelliger Höhe» zahlten. Bei 160 gemeldeten Attacken und einer grossen Dunkelziffer läppern sich schnell mehrere Millionen Franken pro Jahr zusammen.

Zahlt ein Opfer nicht, kann es womöglich nicht weiter Dienstleistungen erbringen. Sei es der Zahnarzt, das Medienunternehmen oder auch der Maler: Fehlt der Zugriff auf wichtige Systeme, Kundendaten und -termine, wird die tägliche Arbeit verunmöglicht. Das führt bisweilen zu einer existenziellen Gefahr einer Firma, wenn sie keine Aufträge mehr bearbeiten, keine Kontakte mehr abrufen und keine Löhne mehr auszahlen kann. So bleibt häufig kein anderer Ausweg, als Lösegeld zu zahlen.

Gleichzeitig wird so das Geschäftsmodell der Hacker-Banden alimentiert. Das Lösegeld erlaubt es Cyberkriminellen, eine Infrastruktur von Hackern und anderen Gehilfen wie Geldwäscher zu finanzieren. So hat sich in den letzten Jahren eine Industrie von Cyberkriminalität entwickelt, die mutmasslich Milliarden umsetzt. Rund 70 Ransomware-Gruppen sind weltweit aktiv. Darum raten die Behörden dringend davon ab, den Erpressern nachzugeben und auch nur einen Franken zu zahlen.

Und die Strafverfolgung?

Doch es gibt einen zweiten Grund, wieso die Behörden von Lösegeld-Zahlungen abraten: Es gibt keine Sicherheit, dass die Angreifer weg sind, dass sie die Daten nicht doch noch veröffentlichen wollen und die Erpressung somit weitergeht.

Das Perfide an der Situation: Die Risiken für die Kriminellen sind beschränkt. Gemäss der aktuellen polizeilichen Kriminalstatistik können immerhin 34,4 Prozent der digitalen Delikte aufgeklärt werden. Allerdings gilt das vorab für Betrug. Bei Ransomware-Angriffen liegt die Aufklärungsquote bei 1,3 Prozent.

Die Strafverfolgung entpuppt sich in den meisten Fällen als schwierig bis unmöglich. Die Kriminellen agieren häufig aus dem Ausland. Die Polizeien sind daran, die Schlagkraft zu verbessern. Die Konferenz der Kantonalen Polizeidirektoren (KKJPD) will zusammen mit dem Bund unter anderem die Strafverfolgung stärken. Dazu soll eine nationale Übersicht über Cybervorfälle erstellt, die Ausbildung der Strafverfolgungsbehörden im Bereich Cyberkriminalität weiter verbessert und die Zusammenarbeit der Strafverfolgungsbehörden stärker ausgebaut werden.

Doch schon beim ersten Punkt, der Übersicht über Cybervorfälle, hadern die Politiker auf nationaler Ebene. Es gibt bis heute keine Meldepflicht für Cyberattacken. Immerhin hat letzte Woche das Parlament entschieden, dass zumindest die Angriffe auf kritische Infrastrukturen gemeldet werden müssen. Weitergehende Meldepflichten wollte der Ständerat aber nicht.

Sowohl für die Polizeien als auch für das NCSC steht die Prävention im Vordergrund. Seit Jahren wird vor Hackerangriffen und ihren schwerwiegenden Folgen auch für KMU gewarnt. 2021 stellte das NCSC fest, dass die Warnungen versandeten und die Empfehlungen zum Schutz vor Angriffen nicht «flächendeckend umgesetzt» werden.

Die Sensibilisierung steigt langsam – auch weil unterdessen viele Unternehmen einschlägige Erfahrungen machen mussten.

Hackergruppe Play – wer steckt dahinter?
Die ersten Angriffe startete die Hackergruppe «Play» im vergangenen Sommer. Die Wahl der Opfer der Gruppe erscheint dabei willkürlich. So waren bereits Firmen in der Schweiz, die Stadtverwaltung von Oakland, Kalifornien, eine Regionalbank in Spanien sowie eine Justizbehörde in Argentinien von den Cyberattacken betroffen. Auch die Mediengruppen NZZ und CH Media, zu der dieses Portal gehört, wurden jüngst von «Play» angegriffen. Gemäss der Plattform Darkfeed, die Informationen zu Cyberattacken erfasst, gehörte «Play» im Mai zu den fünf aktivsten Hacker- und Erpressungsgruppen der Welt.

Zwei amerikanische IT-Sicherheitsfirmen, welche das Vorgehen von «Play» technisch analysiert haben, sprechen von Angriffe nach bekannten Muster anderer Hackerorganisationen. Der Verdacht liegt nahe, dass eine personelle Verbindung zur Gruppe «Hive» besteht. «Hive» ist gemäss dem US-Justizdepartement verantwortlich für mehr als 1500 Cyberangriffe in über 80 Ländern. Im Januar dieses Jahres gaben US-Behörden und Europol bekannt, dass die Gruppe infiltriert und zerschlagen wurde. Trotz dieses Schlags gegen die Cyberkriminalität agiert «Play» mit ähnlichen Mitteln weiterhin erfolgreich.

Wer genau hinter der Organisation «Play» steckt, ist nicht bekannt. Ebenso unklar ist das Land, von welchem die Gruppe ihre Angriffe vornimmt. Eine weitreichende Analyse von Chainalysis sieht Russland als wichtigsten Stützpunkt der Cyberkriminalität insgesamt. Gemäss der Analyse flossen im Jahr 2021 rund 74 Prozent der erpressten Gelder an Gruppen mit einem Bezug zu Russland. Dies entspricht mehr als 400 Millionen Dollar.

(aargauerzeitung.ch)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Ukraine Dammbruch: So werden Mensch und Tier gerettet
Video: watson
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
8 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
RalpH_himself
08.06.2023 20:23registriert Dezember 2015
In UK ist das Zahlen von Lösegeld nach Hackerangriffen seit ein paar Jahren verboten, und ehrlicherweise ist dies die einzige Art wie wir die Fallzahlen runterbringen. Wenn bekannt ist, dass nichts gezahlt wird, wird auch weniger gehackt.
301
Melden
Zum Kommentar
8
Warum das Drama-Game «Life is Strange: Double Exposure» (fast) alles richtig macht
Mit «Double Exposure» bekommt das allererste «Life is Strange»-Game endlich eine direkte Fortsetzung, die wieder nach happigen Entscheidungen verlangt. Welcher Weg auch eingeschlagen wird, das Spiel sorgt für viele emotionale Momente.

Als «Life is Strange» 2015 erschien, sorgte es für viel Aufsehen: Die Mischung zwischen Coming-of-Age-Story und Mystery-Geschichte rüttelte Emotionen wach. Das Drama voller Liebe, Freundschaft und Crime liess uns nicht mehr los und zwang zu Entscheidungen, die uns auf Kuddelmuddel-Pfade schickte, die noch lange nachhallen sollten.

Zur Story