BR24 Logo
BR24 Logo
Startseite
© BR
Bildrechte: stock.adobe.com/Denys Rudyi

Vor allem mittelständische Unternehmen sind bevorzugtes Ziel von Cyberkriminellen. Es reicht, wenn ein Mitarbeiter versehentlich auf ein Schadprogramm klickt - schon können Hacker die IT-Systeme übernehmen, sperren und dafür Lösegeld erpressen.

7
Per Mail sharen
  • Artikel mit Audio-Inhalten

Digitale Erpressung: Wenn deutsche Konzerne Millionen bezahlen

"Ransomware" nennen IT-Experten das Vorgehen, wenn sämtliche Daten auf dem Rechner verschlüsselt werden. Hacker wollen damit große Summen erpressen. Wie die Verhandlungen ablaufen, wenn sie das Lösegeld einfordern, geht nun aus einem Chat hervor.

7
Per Mail sharen
Von
  • Hakan Tanriverdi
  • Reinhard Weber
  • Christian Sachsinger

"Wir haben überwiesen" – nach tagelangen Verhandlungen und Androhungen eines Daten-Leaks ist es diese Chat-Nachricht, die dokumentiert, wie es Hackern gelungen ist, einen deutschen Mittelständler erfolgreich zu erpressen. 1,27 Millionen US-Dollar hat der Kupferhersteller KME mit Sitz in Osnabrück überwiesen, um wieder Zugriff auf die eigenen Daten zu bekommen, die Hacker zuvor verschlüsseln konnten.

Schaden in Höhe von 10,5 Milliarden Euro

Das Geschäftsmodell der Hacker nennen IT-Sicherheitsexperten "Ransomware". Es handelt sich um Software, die sämtliche Daten auf dem Rechner korrumpiert. In den vergangenen beiden Jahren sind, allein in Deutschland, ein Dutzend solcher Vorfälle bekannt geworden. Der Digitalverband Bitkom spricht von einem Schaden in Höhe von insgesamt 10,5 Milliarden Euro in den Jahren 2018 und 2019.

Das Bundeskriminalamt (BKA) bezeichnet Ransomware gar als "größte Bedrohung" für Wirtschaftsunternehmen. Die Hacker hätten es insbesondere auf größere Konzerne abgesehen, erklärt Carsten Meywirth, Abteilungsleiter für Cybercrime: "Die Täter schauen, dass sie sich große Fische an Land ziehen, wo sie sehr hohe Lösegeldforderungen realisieren können."

KME äußert sich nicht

Aus dem englischsprachigen Chat, der BR Recherche und dem ARD-Wirtschaftsmagazin Plusminus in Gänze vorliegt, ergibt sich zum ersten Mal, wie genau ein deutscher Konzern von kriminellen Hackern erpresst wurde.

Auf Anfrage äußerte sich der Konzern nicht. Zuvor hatten die Nachrichtenagentur Reuters und ein französisches Fachmedium über Verhandlungen mit digitalen Erpressern berichtet.

Hacker: "Wir wollen nur profitieren"

Im Fall von KME war die Produktion in Teilen eingeschränkt, wie das Unternehmen im August mitteilte. Polizei und Staatsanwaltschaft wurden eingeschaltet, außerdem ein Verhandlungsführer, der mit den Hackern Kontakt aufnehmen sollte. Diese hatten eine Text-Datei mit dem Namen "Lies mich" auf den verschlüsselten Rechnern abgelegt.

Sie enthält detaillierte Anweisungen und die Anmerkung: "Das ist für uns nur ein Geschäft. Wir haben absolut kein Interesse an euch, wir wollen nur profitieren." Beigefügt ist ein Link ins Darknet, also in jenen Teil des Internets, der mit gängigen Web-Browsern nicht zu erreichen ist. Dort warten die Hacker.

Hacker suchen nach Unternehmensbilanzen

Zu Beginn wollen sie 7,5 Millionen US-Dollar. "Es ist unmöglich für meinen Klienten, euch 7,5 Millionen Dollar zu zahlen", beginnt der Verhandlungsführer, frei übersetzt, das Gespräch und führt aus, dass die Corona-Pandemie auch KME hart getroffen habe. Die Hacker zeigen sich unbeeindruckt: "Wir haben jeden Tag mit vielen Firmen Deals, Covid-19 ist bereits eingepreist."

Sie fügen eine Unternehmensbilanz und die Versicherungspolice des Konzerns mit den Worten hinzu: "Falls ihr das nicht zur Hand haben solltet". Es ist offenkundig, dass sie sich in den Netzwerken des Kupferherstellers umsehen konnten, bevor sie die Höhe des Lösegelds festgelegt haben.

Ein solches Vorgehen gehöre zur üblichen Strategie, wie Kimberly Goody von der IT-Sicherheitsfirma FireEye erklärt: "Wenn es den Hackern gelingt, zeitgleich 20 Firmen zu infizieren, aber sie nicht die Kapazitäten haben, alle gleichzeitig zu erpressen, müssen sie Prioritäten setzen. Da kann es helfen, den jährlichen Umsatz zu kennen." Je höher der Umsatz, desto höher die Forderung.

Deal nach tagelangen Verhandlungen

Tagelang wird an einem Deal gearbeitet, der Verhandlungsführer versucht, an das Gewissen der Hacker zu appellieren: "Sie haben das falsche Opfer ausgewählt, unsere Versicherung übernimmt kein Lösegeld. Deshalb sind maximal 750.000 drin, und das kostet schon Jobs, aber das ist euch ja egal."

Die Hacker drohen im Gegenzug damit, entwendete Daten zu leaken. Erst als sie merken, dass sie tatsächlich Geld sehen werden, reduzieren sie den Preis. Am Ende einigt man sich auf 1,27 Millionen Dollar, zu zahlen in der Digitalwährung Monero.

Bevor das Geld verschickt wird, äußert der Verhandlungsführer Bedenken: "Bitte bestätigt uns, dass sämtliche Systeme, die ihr verschlüsselt habt, wieder funktionieren werden." Die Hacker wollen nicht länger warten, doch für das Unternehmen stellt sich die Frage: Was passiert, wenn sie zahlen, die Hacker aber ihr Versprechen brechen?

BKA: Keine Sicherheit, dass Hacker Versprechen halten

Cybercrime-Experte Meywirth vom BKA warnt: "Es besteht keine Sicherheit, dass nach einer Zahlung entsprechende Decryptoren von den Tätern versandt werden." Mit Decryptoren lassen sich die Daten wieder entschlüsseln.

Meywirth könne verstehen, dass Unternehmen abwägen müssen "zwischen dem Schaden, der entstanden ist, und der Lösegeldforderung". Doch sein Rat sei klar: "Wir empfehlen in jedem Fall nicht zu zahlen. Das würde noch mehr Anreize für Tatwiederholungen schaffen, möglicherweise auch im gleichen Unternehmen."

Bezahlt werde "in aller Regel dann, wenn gar keine Daten mehr da sind", sagt Christoph Fischer, Geschäftsführer der IT-Sicherheitsfirma BFK edv-consulting. Dieses Jahr hat Fischer knapp 20 Verhandlungen geführt und in sechs Fällen Geld für Unternehmen überweisen müssen, insgesamt sechs Millionen Euro. Über die Hacker sagt er: "Denen ist wichtig, dass ihr Geschäftsmodell nicht kaputt geht. Das ist so einträglich, dass sie alles machen, damit ihre Opfer ihre Daten wiedererhalten."

Hacker hinterlegen Steckbrief

Die Hacker im KME-Fall haben eine Art Steckbrief hinterlegt, direkt neben dem Chatfenster. Dort heißt es: "Vermutlich kennt ihr uns schon. In vielen Artikeln werden wir 'Sodinokibi' genannt." Die Hacker geben an, besonders professionell zu arbeiten, Anfängerfehler würden nicht passieren. "Sie sollten froh sein, von uns gehackt worden zu sein und nicht von unseren Konkurrenten", steht dort.

Hinter Sodinokibi steckt wohl eine Gruppe, die ihre Software lizensiert, erklärt Kimberley Goody von FireEye. "In Untergrundforen wird die Ransomware beworben und Akteure gesucht, die sie in Unternehmensnetze einschleusen können." Die Sodinokibi-Entwickler behalten demnach 30 Prozent der Lösegeldzahlungen ein, der Rest geht an die Hacker. Es ist unklar, wer hinter der Gruppe steckt.

Am Ende kann KME seine Daten entschlüsseln. Zum Abschluss erklären die Hacker, wie es ihnen überhaupt gelungen ist, in die Netzwerke des Konzerns einzudringen. Die Antwort: Die Hacker haben sich die Login-Daten für den Zugang ins Netz erkauft und anschließend das Passwort eines Administrators erraten. Anschließend geben sie Tipps, wie der Konzern sich besser schützen kann. Damit andere Erpresser draußen bleiben.

"Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!