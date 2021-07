Normalerweise versuchen Hacker in die Netzwerke einzelner Firmen einzudringen. Vor allem mittelständische Betriebe sind hier beliebt. Die Kriminellen schauen sich die Bilanzen an, um abzuschätzen, wieviel Geld es zu holen gibt. Die Mittelständler sind dabei meist nicht so groß, dass sie sich wirklich gut abgeschottete IT-Systeme leisten können oder wollen. Das heißt, Hacker kommen in solche Firmen oft noch vergleichsweise leicht hinein.

Im aktuellen Fall wurde aber nicht ein klassischer Produktionsbetrieb gehackt, sondern mit Kaseya ein IT-Dienstleister. Solche Firmen sind in der Regel besonders gut geschützt. Sie müssen ja nicht nur sich selbst gegen Angreifer verteidigen, sondern auch ihre gesamte Kundschaft. Und so konnten über Kaseya nun zahlreiche andere Firmen mit gekapert werden. Aus Hackersicht war das ein besonders dicker Fisch. Das bestätigt auch Sebastian Schreiber, IT-Sicherheitsexperte aus Tübingen. Er habe schon sehr viele Angriffe beobachtet, der aktuelle Fall habe auch ihn ins Staunen gebracht.

Wohl überschaubare Auswirkungen in Deutschland

An offizieller Stelle tut man sich in Deutschland bislang schwer, das Ausmaß des Hackerangriffs genau abzuschätzen. Man beobachte das, heißt es bislang lediglich beim Bundeswirtschaftsministerium. Und aus dem Bundsinnenministerium ist zu hören, dass nach bisherigem Kenntnisstand keine Bundesbehörden oder Einrichtungen der kritischen Infrastruktur von meldepflichtiger Größe betroffen seien. Für genauere Informationen wird auf das Bundesamt für Sicherheit in der Informationstechnik kurz BSI verwiesen – dort sitzen die IT-Experten der Regierung.

Doch auch das BSI kennt bislang weder die genaue Zahl der betroffenen Firmen, noch nennt sie Namen von Unternehmen deren Netzwerke lahmgelegt wurden. Man sei allerdings vorsichtig optimistisch, dass man in Deutschland mit einem blauen Auge davongekommen sei, sagt eine BSI-Sprecherin. Dass – wie in Schweden – eine ganze Supermarktkette wegen des Hackerangriffs schließen müsse, ist ihr zufolge nicht zu befürchten.

Kaskade von betroffenen Firmen

Weltweit gibt es allerdings wenig Grund für Optimismus. Das US-Unternehmen Kaseya betreibt eine Software mit dem Namen VSA, mit der sich ganze Firmennetzwerke ferngesteuert verwalten lassen, wenn kleinere Unternehmen sich nicht selbst um ihre IT kümmern wollen oder können. Das übernehmen dann IT-Beratungsunternehmen, die wiederum die Software von Kaseya dafür verwenden. Die Hacker konnten nun ein Update der VSA-Software nutzen, um Zugriff auf zahlreiche IT-Beratungsfirmen zu bekommen, die ja wiederum die Computersysteme vieler weiterer Firmen steuern. Auf diese Weise sind nun Schätzungen zufolge weltweit mehrere tausend Firmen in der Hand der Internetkriminellen. Die Hacker selbst sprechen von einer Million infizierter Rechner.

Hacking als Geschäftsmodell

Hinter den Angriffen könnte bisherigen Erkenntnissen zufolge die Hackergruppe mit dem Namen REvil stecken, die im osteuropäischen Raum vermutet wird. REvil hat eine Art Franchise-System für Hacker aufgebaut. Die „Zentrale“ stellt dabei die Angriffswerkzeuge zur Verfügung und bekommt dafür eine höhere prozentuale Beteiligung am „Gewinn“. Bei einem erfolgreichen Angriff wird das gesamte Rechensystem eines Unternehmens verschlüsselt und so lahmgelegt. Dann beginnen die Lösegeldverhandlungen. Im aktuellen Fall werden 70 Millionen Dollar verlangt, damit sich die Rechner wieder entsperren lassen. Meist rücken die Hacker von ihrer ersten Forderung noch ein gutes Stück ab, das hängt auch vom Verhandlungsgeschick des Opfers aus.

Freundliche Hacker mit Hotline

Die ganz Zeit über bleiben die Hacker – wie bei einer Hotline - gut ansprechbar, zeigen sich meist freundlich und zuvorkommend. Oft wird auch schon mal ein kleiner Teil des Firmennetzwerks entschlüsselt, als Kostprobe, damit die „Kunden“ wirklich glauben, dass sie am Ende wieder den Zugriff auf ihre IT zurückbekommen. Die Hacker von REvil wollen am liebsten als seriöse Geschäftspartner wahrgenommen werden, auf die man sich am Ende verlassen kann.

Wer kommt für den Schaden auf?

Die Frage, die nun geklärt werden muss: „Wer bezahlt die Rechnung?“ Zum einen wird womöglich Lösegeld bezahlt, um die Rechner wieder freizubekommen. Zum anderen sind in den Firmen Schäden entstanden, zum Beispiel bei Coop in Schweden, wo Waren nicht verkauft werden konnten. Laut dem Tübinger Hacking-Experten Sebastian Schreiber wird die Haftungsfrage noch für Streit sorgen. Viele IT-Dienstleister schließen seiner Erfahrung nach die Verantwortung für Hacking-Angriffe gerne von vornherein aus.