Es handelt sich um den bislang folgenschwersten Cyberangriff auf kritische Infrastruktur in den USA: Vergangene Woche sind Hacker in das IT-System von Colonial Pipeline eingedrungen, die Betreiberfirma einer der wichtigsten Pipelines der USA. Der Angriff führte dazu, dass das Unternehmen mit Sitz in Georgia einen Teil seiner Systeme offline nahm. Die Pipeline blieb mehrere Tage am Stück außer Betrieb.
Bei der Cyberattacke wurde Ransomware eingesetzt. Mit einem solchen Schadprogramm versuchen Hacker, Computersysteme zu sperren oder zu verschlüsseln und von den Nutzern Geld für die Freigabe der Daten zu erpressen. Außerdem sollen knapp hundert Gigabyte an internen Daten abgefischt worden sein.
Biden vermutet russische Hacker hinter dem Angriff
Am Montag bekannte sich die Hackergruppe "Darkside" auf ihrer Website zu dem Angriff: "Unser Ziel ist, Geld zu machen und nicht Probleme für die Gesellschaft", teilten die Mitglieder in einem Statement mit. Sie fügten hinzu, unpolitisch zu sein und, dass Beobachter sie mit keiner bestimmten Regierung in Verbindung bringen sollten.
US-Präsident Biden hatte zuvor von Hinweisen gesprochen, dass die verantwortlichen "Akteure" in Russland seien und die Schadsoftware von dort stamme. Die russische Botschaft in den USA wies Vorwürfe über eine Beteiligung russischer Hacker zurück. Russland übe keine "bösartigen" Aktivitäten im Netz aus.
In der "Darkside"-Erklärung gab es keine Hinweise darauf, wie viel Geld die Gruppe von Colonial Pipeline verlangt.
Lösegeldforderung orientiert sich an Unternehmenseinnahmen
Im Netz kursieren Bilder von Zahlungsaufforderungen, die "Darkside"-Opfer auf ihrem Bildschirm zu sehen bekommen: "Your network has been locked! You need to pay $ 2.000.000 now". Die Zahlung soll entweder in US-Dollar oder in einer der Kryptowährungen Bitcoin oder Monero (XmR) erfolgen. Wenn die Lösegeldforderung nicht innerhalb einer kurzen Frist beglichen ist, verlangen die Erpresser den doppelten Betrag.
Das bestätigt auch das Bundeskriminalamt: "Die geforderte Ransom orientiert sich an den Einnahmen des Unternehmens und steigert sich, wenn das Unternehmen bis zu einem Tag X nicht gezahlt hat", heißt es im Cybercrime-Bundeslagebild 2020, das das Bundeskriminalamt am Montag veröffentlicht hat. Reputationsschäden und
Folgeschäden durch den Abfluss sensibler Daten sind da noch gar nicht eingerechnet.
Nach Angaben der IT-Security Dienstleisters Coveware stieg die durchschnittliche Lösegeldzahlung von 2018 zu 2019 und nochmals zu 2020 an. Im vierten Quartal 2020 lag sie bei 154.108 US-Dollar.
Der Profit, den Ransomware-Gruppierungen im Jahr 2020 in Form von Kryptowährungen erpresst haben, ist nach Angaben der Blockchain-Analysefirma Chainanalysis um 311 Prozent im Vergleich zum Vorjahr gestiegen.
Je größer das Unternehmen, desto größer die Gefahr, attackiert zu werden
In Deutschland bewegt sich die Höhe der Lösegeldforderungen in einer sehr großen Spannweite von 100 Euro bis 100 Millionen Euro, wobei die Hälfte der Forderungen unter 4.800 Euro und die andere Hälfte darüber lag, wie es in der repräsentativen Umfrage "Cyberangriffe gegen Unternehmen in Deutschland" heißt, die das Kriminologische Forschungsinstitut Niedersachsen im Auftrag des Bundeswirtschaftsministeriums durchgeführt hat.
Je größer ein Unternehmen, desto größer ist die Gefahr, Ziel eines Ransomware-Angriffes zu werden. “Während nur etwa jedes neunte kleine Unternehmen Opfer eines Ransomware-Angriffs wurde, betraf es jedes vierte bis fünfte große Unternehmen ab 500 Beschäftigten”, heißt es in der Cyberangriffe-Umfrage weiter.
BKA: Wirtschaftliche starke Unternehmen sind begehrtes Ziel
Auch das BKA beobachtet, dass Ransomware-Angreifer es zunehmend auf große Unternehmen abgesehen haben: “Cyberkriminelle greifen dort an, wo es sich aus ihrer Sicht finanziell lohnt”, heißt es im Cybercrime-Bericht. Besonders gefährdet seien wirtschaftlich starke Unternehmen, kritische Infrastrukturen (KRITIS) und öffentliche Einrichtungen wie Krankenhäuser. Das BKA fasst solche Einrichtungen unter dem Begriff "Big Game" zusammen und Angriffe darauf als "Big Game Hunting".
Zu einer ähnlichen Einschätzung kommt Johannes Rundfeldt, Gründer und Sprecher, der AG KRITIS, einer Vereinigung von Fachleuten und Experten, die sich täglich mit kritischen Infrastrukturen beschäftigen: "Ransomware-Angriffe nehmen insgesamt zu. Alle sind betroffen, auch KRITIS-Betreiber", sagt Rundfeldt zu BR24.
Der AG KRITIS sind allein aus dem Jahr 2020 mehr als 40 Ransomware-Angriffe auf große Unternehmen und Organisationen weltweit bekannt, darunter auch einige deutsche Opfer wie der Bundeswehr Fuhrpark Service, die GWG Wohnungsbaugesellschaft München, die Münchner Sicherheitskonferenz, der Flughafen Saarbrücken, der Deutsche Fußball-Bund oder der Maschinenbauer Krauss Maffei.
2020 Angriff auf Uniklinikum Düsseldorf
Öffentlich bekannt werden nur wenige Fälle wie der des Universitätsklinikums Düsseldorf, dessen IT-Infrastruktur am 10. September 2020 von einer Ransomware-Attacke getroffen wurde.
Den Angreifern gelang es, bildgebende Systeme zu verschlüsseln, dadurch konnte das Klinikum die zentrale Notversorgung nicht mehr sicherstellen, so dass Patienten auf umliegende Krankenhäuser verteilt werden mussten. Eine Notfallpatientin, die in ein anderes, weiter entferntes Krankenhaus gebracht wurde, verstarb kurze Zeit später. Darüber hinaus entwendeten die Täter vor der Verschlüsselung der Systeme vermutlich 100.000 Patientendaten aus dem Netzwerk. Auch damals wurden die Täter in Russland vermutet.
Das Universitätsklinikum Düsseldorf ist wie die Colonial Pipeline in den USA ein Beispiel für eine kritische Infrastruktur.
💡 Kritische Infrastruktur
Als Kritische Infrastruktur gelten Dienstleistungen zur Versorgung der Allgemeinheit. Konkret in den Sektoren Energie, Gesundheit, Informationstechnik und Telekommunikation, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen, Ernährung. Wenn diese Dienstleistungen ausfallen oder beeinträchtigt werden, würde dies "zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen", wie es in der so genannten Kritis-Verordnung des Bundesamtes für Sicherheit in der Informationstechnik heißt.
"Die Motivation für Ransomware-Angriffe ist in fast allen Fällen finanziell”, sagt Rundfeldt zu BR24. Die Angreifer hätten auch ihr Geschäftsmodell weiterentwickelt:
"Früher verlangten die Erpresser für den Schlüssel zur Entschlüsselung Lösegeld. Heute laden sie zuerst Geschäftsdaten runter, speichern sie bei sich, verschlüsseln dann das gesamte System. Anschließend verlangen sie erstens Lösegeld für die Entschlüsselung der Daten und zweitens Lösegeld dafür, dass sie die Geschäftsdaten nicht weiterverkaufen." Johannes Rundfeldt, AG KRITIS
Auch die Drohung, sensible Daten im Netz zu veröffentlichen, gehört zu dieser "Double Extortion" genannten Erpressungsmethode, die laut BKA zum Standard-Vorgehen bei Ransomware-Attacken avanciert.
Ransomware wird vermietet und verkauft
Und noch einen weiteren Geschäftszweig hat das BKA ausgemacht: Ransomware-as-a-Service (RaaS). Dabei programmiert eine Gruppe von Kriminellen eine Ransomware und vermietet oder verkauft sie an andere Operatoren bzw. Täter, die die Ransomware-Software ihrerseits nutzen, um damit Lösegeld zu erpressen.
Die US-amerikanische IT-Sicherheitsfirma macht vier RaaS-Modelle aus:
- monatliches Abo zum Flatrate-Tarif
- Affiliate Programme, bei denen der RaaS-Operator einen festen Prozentsatz (oft 20-30 Prozent) des erpressten Profits behalten darf
- einmalige Lizenzgebühr. Dafür kann der Käufer der RaaS-Software dann das Lösegeld ganz für sich behalten
- das erpresste Lösegeld wird zwischen RaaS-Programmierer und Operator geteilt.
Phishing ist immer wieder erfolgreich
Ein Ransomware-Angriff kann also in vielerlei Hinsicht teuer werden. Umso wichtiger ist es, sich dagegen zu schützen. Johannes Rundfeldt von der AG Kritis weist vor allem auf zwei verbreitete Einfallstore hin: Zum einen auf unsichere Fernwartungssysteme - über die die Hacker wohl auch ins Colonial Pipeline-System eingedrungen sind. Zum anderen Software, die nach dem Bekanntwerden von Sicherheitslücken nicht schnell genug aktualisiert wird.
Ein nur schwer zu schließendes Einfallstor ist Rundfeldt zufolge aber nach wie vor das Phishing:
"Angreifer verschicken eine Million Spam-Nachrichten, es reicht, wenn ein einziger Mitarbeiter einer Firma draufklickt. So ein Fehler wird irgendwann passieren, allein schon von der Wahrscheinlichkeit her, selbst bei allerbestem Sicherheits-Training im Unternehmen."
"Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!