Die Angriffe auf Firmen und öffentliche Infrastrukturen häufen sich. Im März schlägt die Kurve der Ransomware-Attacken weltweit nach oben aus: 438 Ereignisse zählte die Plattform Ransom-DB in einem Monat, sonst waren es in den letzten Jahren im Mittel 250 Angriffe.
Allerdings dürfte das nur die Spitze des Eisbergs sein. Denn die Plattform zählt einzig die Daten, welche die kriminellen Gruppen geklaut und im Darknet illegalerweise publiziert haben. Im Dunkeln bleibt die grosse Mehrheit der Angriffe, bei welchen die Opfer auf die Forderungen der Erpresser eingehen – und Lösegeld zahlen.
Auch Schweizer Ziele sind unter Hacker-Gruppen höchst beliebt. Zu den Opfern zählten zuletzt namhafte Institutionen wie die Universität Zürich, die ABB, die SBB sowie das Erziehungsdepartement Basel-Stadt.
Letzte Woche mussten auch das Bundesamt für Polizei (Fedpol) sowie jenes für Zoll und Grenzsicherheit einräumen, dass Hacker ihre Daten im Darknet veröffentlichten. Der Angriff galt zwar nicht den Ämtern selbst, sondern dem IT-Dienstleiter Xplain, der diese bedient. Vom Leak betroffen waren aber wichtige Institutionen wie der Rüstungskonzern RUAG und die Kantonspolizeien.
Das Verlagshaus CH Media, welche diese Zeitung herausgibt, wurde im März ebenfalls attackiert – und erpresst. Die Angreifer hackten die IT-System der NZZ, welche CH Media beliefert. Daraufhin legten sie zunächst einzelne Systeme lahm, welche für die Produktion der Zeitung notwendig sind. So konnten über Wochen verschiedene Zeitungen nur eingeschränkt produziert und gedruckt werden.
Zwei Wochen nach der Verschlüsselung bekannte sich die Hacker-Gruppe Play zum Angriff, wenige Tage darauf verlangte sie Geld gegen Daten. Zu keinem Zeitpunkt ist Lösegeld geflossen.
Das ist typisch. Es gibt zwar verschiedene Formen der Kriminalität im Internet. In der Schweiz schlagen vor allem Betrugsdelikte oben aus, wie die Statistik des Nationalen Zentrums für Cybersicherheit (NCSC) zeigt. Doch nahmen die Meldungen zu Ransomware-Angriffen ab 2020 von 66 auf rund 160 in den letzten zwei Jahren stark zu.
Es sind dies Angriffe mit Verschlüsselungstrojanern («malware»), die zu einer Erpressung führen («ransom»). Der Fokus der Angreifer hat sich indes von Privatpersonen hauptsächlich auf Firmen verschoben, wie das NCSC angibt.
Dabei operieren Ransomware-Banden oft nach demselben Muster: Sie verschaffen sich über einen Mitarbeitenden Zugang zum System, entwerfen dafür zum Beispiel personalisierte E-Mails mit Angeboten oder interessanten Inhalten, die als Links oder Anhänge verschickt werden.
Sobald ein Opfer diese anklickt und seine Zugangsdaten eingibt, verschafft sich der Angreifer Zugang, nistet sich im Computer ein – und beginnt das Umfeld auszuspionieren. Sodann verschafft sich der Angreifer weiteren Zugang, etwa über einen Administrator, um in weitere Bereiche vorzudringen («lateral movement»).
Über diese Spionage-Technik gelangt der Angreifer an sensible Daten und beginnt sie herunterzuladen. In der Regel dauert dieser Prozess mehrere Wochen, gar Monate. Hat der Angreifer genügend Daten abgezogen, beginnt er mit der Verschlüsselung: Die Systeme kollabieren, der Zugang zum Computer wird verunmöglicht.
Im schlimmsten Fall geht gar nichts mehr. Falls der Angreifer nebst den laufenden Systemen auch die Sicherheitskopie (Backup) verschlüsselt hat, sind alle Daten verloren.
Darauf folgt die doppelte Erpressung («double extorsion»): Zuerst will der Angreifer Geld, um die Systeme wieder zu entschlüsseln. In einem zweiten Schritt verlangt er eine weitere Zahlung, um die Veröffentlichung sensibler Daten abzuwenden.
Schätzungen zu erfolgreichen Erpressungen bei Ransomware-Angriffen will das NCSC keine angeben, es sei weder eine Ermittlungs- noch eine Strafverfolgungsbehörde.
Es ist ein Thema, worüber niemand gerne spricht – und es ist elementarer Teil des Problems:
Anhaltspunkte gibt es dazu: 2021 erklärte das NCSC, dass Schweizer KMU sich zu wenig schützten und immer wieder Opfer von Cyberangriffen werden – und dabei «nicht selten Lösegeld in sechs- oder siebenstelliger Höhe» zahlten. Bei 160 gemeldeten Attacken und einer grossen Dunkelziffer läppern sich schnell mehrere Millionen Franken pro Jahr zusammen.
Zahlt ein Opfer nicht, kann es womöglich nicht weiter Dienstleistungen erbringen. Sei es der Zahnarzt, das Medienunternehmen oder auch der Maler: Fehlt der Zugriff auf wichtige Systeme, Kundendaten und -termine, wird die tägliche Arbeit verunmöglicht. Das führt bisweilen zu einer existenziellen Gefahr einer Firma, wenn sie keine Aufträge mehr bearbeiten, keine Kontakte mehr abrufen und keine Löhne mehr auszahlen kann. So bleibt häufig kein anderer Ausweg, als Lösegeld zu zahlen.
Gleichzeitig wird so das Geschäftsmodell der Hacker-Banden alimentiert. Das Lösegeld erlaubt es Cyberkriminellen, eine Infrastruktur von Hackern und anderen Gehilfen wie Geldwäscher zu finanzieren. So hat sich in den letzten Jahren eine Industrie von Cyberkriminalität entwickelt, die mutmasslich Milliarden umsetzt. Rund 70 Ransomware-Gruppen sind weltweit aktiv. Darum raten die Behörden dringend davon ab, den Erpressern nachzugeben und auch nur einen Franken zu zahlen.
Doch es gibt einen zweiten Grund, wieso die Behörden von Lösegeld-Zahlungen abraten: Es gibt keine Sicherheit, dass die Angreifer weg sind, dass sie die Daten nicht doch noch veröffentlichen wollen und die Erpressung somit weitergeht.
Das Perfide an der Situation: Die Risiken für die Kriminellen sind beschränkt. Gemäss der aktuellen polizeilichen Kriminalstatistik können immerhin 34,4 Prozent der digitalen Delikte aufgeklärt werden. Allerdings gilt das vorab für Betrug. Bei Ransomware-Angriffen liegt die Aufklärungsquote bei 1,3 Prozent.
Die Strafverfolgung entpuppt sich in den meisten Fällen als schwierig bis unmöglich. Die Kriminellen agieren häufig aus dem Ausland. Die Polizeien sind daran, die Schlagkraft zu verbessern. Die Konferenz der Kantonalen Polizeidirektoren (KKJPD) will zusammen mit dem Bund unter anderem die Strafverfolgung stärken. Dazu soll eine nationale Übersicht über Cybervorfälle erstellt, die Ausbildung der Strafverfolgungsbehörden im Bereich Cyberkriminalität weiter verbessert und die Zusammenarbeit der Strafverfolgungsbehörden stärker ausgebaut werden.
Doch schon beim ersten Punkt, der Übersicht über Cybervorfälle, hadern die Politiker auf nationaler Ebene. Es gibt bis heute keine Meldepflicht für Cyberattacken. Immerhin hat letzte Woche das Parlament entschieden, dass zumindest die Angriffe auf kritische Infrastrukturen gemeldet werden müssen. Weitergehende Meldepflichten wollte der Ständerat aber nicht.
Sowohl für die Polizeien als auch für das NCSC steht die Prävention im Vordergrund. Seit Jahren wird vor Hackerangriffen und ihren schwerwiegenden Folgen auch für KMU gewarnt. 2021 stellte das NCSC fest, dass die Warnungen versandeten und die Empfehlungen zum Schutz vor Angriffen nicht «flächendeckend umgesetzt» werden.
Die Sensibilisierung steigt langsam – auch weil unterdessen viele Unternehmen einschlägige Erfahrungen machen mussten.
(aargauerzeitung.ch)
