Erpressung ist ein lukratives Geschäft. Das gilt auch und vor allem für die digitale Welt. Jedes Jahr werden mehr Unternehmen Opfer von Angriffen mit Erpresser-Software, auch bekannt als Ransomware. Im DiFü-Podcast „D wie Digital“ spricht Tim Berghoff, IT-Spezialist und „Security Evangelist“ beim IT-Sicherheitsunternehmen G Data, über das Geschäftsmodell Ransomware, die Menschen dahinter und warum das Thema uns alle angeht. Hier ist das Interview zum Nachlesen.

DiFü News: Wurden Sie schon einmal digital erpresst?

Tim Berghoff: Ich persönlich glücklicherweise nicht. Ich habe allerdings im Bekanntenkreis durchaus schon Fälle von Erpressung gehabt.

Sie sind ein „Security Evangelist“ und verbreiten die frohe Kunde der IT-Sicherheit – haben Sie im Moment viel Gutes zu berichten?

Ein Evangelist überbringt die gute Nachricht, wie Sie sagen. Das ist natürlich unter den gegebenen Umständen der letzten ein bis zwei Jahre nicht immer so einfach. Aber: Wenn wir uns die IT-Sicherheitssituation anschauen, gibt es eine ganze Menge, was potenziell Betroffene tun können. Und das muss gar nicht unbedingt hochtrabend oder kompliziert oder teuer sein.

Wie war zuletzt die Cyber-Sicherheitslage insgesamt?

Im Jahr 2021 hat sich ein Trend aus 2020, also dem ersten Jahr der Corona-Pandemie, nahtlos fortgesetzt. Kriminelle sind verstärkt aktiv geworden, auch im Hinblick auf Ransomware, und sie gehen immer gezielter gegen einzelne Ziele vor. Im Moment gibt es nur wenig Anzeichen, dass sich das in nächster Zeit ändert.

Diese Einschätzung deckt sich mit aktuellen Nachrichten und Studien zum Thema Ransomware. Ist das aus Ihrer Sicht im Moment die größte Cyber-Bedrohung, mit der wir es zu tun haben?

Das ist ohne Zweifel eine der größten Bedrohungen, die wir im Moment haben. Wir haben im Jahr 2019 ungefähr 188 Millionen Angriffe dieser Art verzeichnen können. Im Jahr 2020 waren wir dann schon bei rund 300 Millionen, das hat sich also deutlich erhöht.

Wie müssen wir uns diese Angriffe vorstellen? Ist an dem Klischeebild vom Hacker mit Kapuze im dunklen Raum vor einem leuchtenden Screen was dran? Oder läuft das alles viel professioneller ab?

Ransomware ist mittlerweile in erster Linie eine Dienstleistung, die sich außerhalb des legalen Rahmens bewegt. Und sie ist ein lukratives Business geworden. Wir haben Zulieferer, die die eigentliche Ransomware entwickeln. Die haben auch eine eigene Qualitätssicherung. Es gibt Einkäufer und Verkäufer, es gibt Distributoren und natürlich Abnehmer, die für die Zahlung eines bestimmten Betrages diese Leistungen in Anspruch nehmen.

Ransomware as a Service (RaaS)

Ransomware als Dienstleistung ist ein „as a Service“-Geschäft. Bei „aaS“ geht es immer darum, dass Angebote zur Verfügung gestellt werden, für die die Auftraggeber selbst keine Fähigkeiten oder Kapazitäten haben. Beispiele aus der Welt des Cloud Computing sind etwa „Software as a Service (SaaS)“ oder „Infrastructure as a Service (IaaS)“. Auftraggeber können über die Cloud Programme (SaaS) oder etwa Speicher oder Rechenleistung (IaaS) nutzen, die sie selbst nicht besitzen.

Das heißt, ich als Abnehmer muss gar nicht wissen, wie man so etwas programmiert. Das ist also im Prinzip so, als würde ich im echten Leben als Entführer Lösegeld erpressen, aber die Menschen gar nicht selbst kidnappen, sondern die Entführung nur in Auftrag geben?

 

Genau, das ist eine Möglichkeit, dass ein Anbieter ein Rundum-Sorglos-Paket verkauft und hinterher einen Teil des Lösegeldes als Bezahlung für sich einbehält. Eine andere Möglichkeit wäre, dass ein Dienstleister in diesem Bereich alle Mittel zur Verfügung stellt, die ein Täter für die Ausübung der Tat braucht, also etwa Fahrzeuge und Informationen, und dafür wird dann entsprechend bezahlt. Beide Bilder funktionieren und ihnen ist gemeinsam, dass ich als Täter kein Stück Programmierkenntnisse brauche – ich muss kein „Computer Crack“ sein, um in diesem Business aktiv werden zu können.

Erpresser-Software ist also ein Geschäft für jedermann. Wer sind die Menschen hinter den Ransomware-Angriffen?

Meistens sind das Menschen, die in erster Linie wirtschaftlich motiviert sind. Das heißt, die versuchen, so viel Geld wie möglich in so wenig Zeit wie möglich zu machen. Es gibt natürlich auch andere Angreifer, die etwa von staatlichen Organisationen gelenkt werden. Der wesentliche Unterschied zwischen den beiden ist, dass in einem wirtschaftlichen Umfeld auch nach wirtschaftlichen Regeln operiert wird. Das heißt: Eine Tätergruppe, die sich einen bestimmten Gewinn von einer Erpressung verspricht, ist nur bereit, einen gewissen „Invest“ darin zu tätigen. Wenn ein Angriff zu teuer oder zu aufwendig wird für das, was hinterher dabei rauskommt, wird er nicht stattfinden – eine klassische Kosten-Nutzen-Abwägung.

Wie muss ich mir einen Ransomware-Angriff vorstellen?

Ein Modus Operandi, den wir relativ häufig sehen, ist: Angreifer schauen von außen auf bestimmte Aspekte in IT-Systemen. Sie bauen etwa einen automatisierten Scan, der das gesamte Internet oder einen bestimmten Bereich des Internets nach Systemen absucht, die von außen erreichbar sind, etwa Email-Server oder Terminal-Server. Dann schauen sie, ob sie etwa durch das Raten von Zugangsdaten Zugang zu einem Netzwerk finden.

Das Raten von Zugangsdaten – also etwa von schlechten, unsicheren Passwörtern?

Genau. Das ist ein Dauerbrenner-Thema in der Sicherheitsbranche: eine vernünftige Passwort-Hygiene. Mittlerweile sollte es bei jedem angekommen sein, dass ein Passwort wie „123456“ einfach keine gute Idee ist. Solche Passwörter lassen sich automatisiert wunderbar durchprobieren.

Und wenn das nicht zum Erfolg führt, welche Wege gibt es noch?

Ein zweiter Modus Operandi, den wir immer wieder sehen und der ebenfalls ein Dauerbrenner ist, ist das Versenden von präparierten E-Mails. Die können etwa mit einer entsprechenden Formulierung einen Nutzer oder eine Nutzerin zur Preisgabe bestimmter Informationen auffordern, zum Beispiel von Zugangsdaten. Das kann aber auch genauso gut ein präparierter E-Mail-Anhang sein, der sich als vermeintlicher Lieferschein oder Rechnung ausgibt.

In diesem Fall reden wir dann von Phishing und Social Engineering, also menschlicher Manipulation.

Ganz genau. Das sind Taktiken, die seit Jahren wunderbar funktionieren. Und sobald dieser Ansatz einmal funktioniert hat, haben die Täter in der Regel viel Zeit und Muße, sich im kompromittierten Netzwerk umzuschauen. Dann ist es nur eine Frage der Zeit, bis eine entsprechende Ransomware aktiv wird oder andere Unregelmäßigkeiten auftreten. Das können Stunden sein, teilweise aber auch einige Monate. Das heißt: Wer heute einen präparierten E-Mail-Anhang öffnet, hat vielleicht dafür gesorgt, dass in zwei, drei Monaten der gesamte Betrieb stillsteht.

Die Täter verschaffen sich also erst einmal Zugang, machen aber noch nichts. So wie wenn sich ein Einbrecher erst einmal umschaut, aber noch gar nichts mitnimmt. Und wann kommt dann die Ransomware?

Das Nachladen der Ransomware ist erst der letzte Schritt. Bis es dazu kommt, haben sich die Täter in der Regel schon einen sehr guten Überblick darüber verschafft, mit wem sie es zu tun haben. Die kennen das Netzwerk dann mindestens genauso gut oder sogar besser als der lokale Administrator. Und sie kennen die wirtschaftliche Situation des angegriffenen Unternehmens und passen ihre Lösegeldforderungen darauf an – denn die Täter sind natürlich an einer Zahlung interessiert. Dazu kommt noch ein weiterer Aspekt: Mittlerweile fahren die Täter oft zweigleisig. Sie verschlüsseln einerseits die Daten und verlangen Geld für die Entschlüsselung. Andererseits drohen sie mit der Veröffentlichung von Daten, die sie sich vorher beiseite geschafft und auf eigene Systeme kopiert haben.

Wie wird man zum Ransomware-Opfer?

Software-Erpresser haben es vor allem auf Unternehmen abgesehen, weil hier das meiste Geld zu holen ist, sagt Tim Berghoff – bei „sauberer Arbeit“ sechs- bis achtstellige Beträge. Die Täter:innen greifen laut dem IT-Experten gerne kleine und mittelständische Unternehmen an, weil die oft das Risiko unterschätzen, selbst zum Opfer zu werden und sich deshalb nicht gut genug gegen Angriffe schützen.

Denken Sie, dass die Täter generell ein zu leichtes Spiel haben?

 

In einigen Fällen mit Sicherheit. Das liegt auch daran, dass viele Unternehmer sich nicht genug Gedanken darüber machen, wie sie im Notfall reagieren, wenn sich die Ransomware auf dem Bildschirm zeigt. An dem Punkt ist eigentlich alles schon zu spät. Da sollte man als Unternehmen den fertigen Notfallplan aus der Schublade holen und umsetzen. In vielen Fällen ist die Vorgehensweise aber eher reaktiv, anstatt proaktiv zu sagen: Für den Fall, dass X eintritt, tun wir Y.

 

Den Schaden haben in erster Linie die Unternehmen. Haben Sie auch Beispiele für solche Angriffe, in denen Ransomware-Angriffe sich auch auf viele andere Menschen ausgewirkt haben?

 

Grundsätzlich ist es natürlich einfach, sich als Privatperson davon zu distanzieren. Aber gerade im Bereich der kritischen Infrastruktur kann uns das auch ganz unmittelbar betreffen. Anfang vergangenen Jahres wurde etwa eine Supermarktkette in Schweden angegriffen, die auch zeitgleich einige Tankstellen betrieben hat. Das klingt erstmal nicht dramatisch, aber in der Praxis hieß das, dass die Tankstellen nicht geöffnet waren. Das heißt, Leute konnten nicht einkaufen und nicht tanken. In Deutschland gab es einen ähnlichen Fall beim Angriff auf Media-Saturn zum Beispiel. Da wird dann die Warenwirtschaft lahmgelegt, und das betrifft uns unmittelbar.

Ein passendes Beispiel dazu ist der Angriff auf die Colonial-Benzin-Pipeline in den USA in 2021. In dem Fall hat das Unternehmen ein sehr hohes Lösegeld bezahlt. Ist das der beste Weg, den Schaden abzuwenden?

Das Zahlen eines Lösegeldes ist immer und unter allen Umständen die schlechteste denkbare Lösung. Ich kann verstehen, wenn jemand eine Rechnung macht und die hohen Kosten der Datenwiederherstellung und des Produktionsausfalls gegen die vielleicht niedrigere Lösegeld-Forderung aufrechnet. Wirtschaftlich ist das nachvollziehbar. Allerdings ist nicht klar, dass man nach Zahlung eines Lösegeldes seine Daten wiederbekommt oder dass geheime Daten nicht doch veröffentlicht werden. Auf das Täterwort kann man sich kaum verlassen. Es gibt natürlich Grenzfälle, in denen man eine Lösegeldzahlung nachvollziehen kann, etwa wenn ein Unternehmen sonst sicher pleite geht. Das ändert allerdings nichts an der Prämisse, dass eine Zahlung immer und unter allen Umständen der schlechteste Ausweg ist.

Wie bekämpft man Cyber-Erpresser? Kann man die Personen im digitalen Raum überhaupt fassen oder kann man eigentlich nur die Software unschädlich machen?

Das kommt auf die Tätergruppe und das Netzwerk an. Die Täter haben ihre eigenen Infrastrukturen und ihre eigenen Kommunikationswege genau darauf ausgerichtet. Wer den Programmcode schreibt, weiß in der Regel nicht, wer die Ransomware verkauft. Der weiß wiederum nicht, wer das Ding kauft und gegen wen es eingesetzt wird. Die einzelnen Glieder innerhalb dieser Kette kennen sich untereinander oft überhaupt nicht. Wenn keiner vom anderen weiß, kann niemand umfassende Informationen preisgeben. Das heißt, ich kann vielleicht einen Täter schnappen, der die Software angestoßen hat. Aber wer sie verkauft oder vertrieben oder geschrieben hat, ist wirklich nur sehr schwer herauszubekommen. Das können auch einige Kollegen und Kolleginnen aus der Strafverfolgung bestätigen. Teilweise ziehen sich Ermittlungsverfahren über Jahre – und manchmal kommen sie dann auch sehr medienwirksam zu einem Abschluss – zum Beispiel, als die Emotet-Software Anfang 2021 einstweilen vom Netz genommen worden ist.

Ende 2021 kam die Nachricht, dass Emotet zurück ist. Ähnlich war es bei der Erpressergruppe REvil, die nach ihrer Zerschlagung wieder auf den Plan getreten ist. Kann man dieses Katz-und-Maus-Spiel überhaupt gewinnen?

Das würde ja implizieren, dass ein Spiel irgendwann mal vorbei ist, das ist es aber nicht. Man kann Etappensiege erringen, wie etwa mit dem Takedown von Emotet. Diese Polizeiaktion hat ein paar Jahre in der Vorbereitung gedauert und ist erfolgreich zu einem Abschluss gekommen – der Takedown hat die Tätergruppe fast einen gesamten Jahresumsatz gekostet. Aber Sie haben Recht: Es ist ein Katz-und-Maus-Spiel. Mal hat einer die Nase vorne, mal hat ein anderer die Nase vorne. Unsere Aufgabe als Sicherheitsindustrie ist es, dafür zu sorgen, dass wir so häufig wie möglich die Nase vorne haben und dass wir Angriffe so schwierig und so aufwändig und so teuer wie möglich machen.

Was sind aus Ihrer Sicht die wichtigsten drei Punkte, die wir aus unserem Gespräch mitnehmen sollten?

Erstens: Jede:r ist grundsätzlich als Ziel interessant. Die Entscheidung darüber trifft man nicht selbst.

Zweitens: Jede:r sollte sich im Privaten oder in einem Unternehmensumfeld einmal überlegen: Wie reagiere ich, wenn tatsächlich mal der Tag X kommt und ich eine Ransomware oder einen Erpressungsversuch vor mir habe? Jeden Vorfall zu verhindern, ist einfach nicht möglich. Deshalb sollte jede:r für sich entscheiden: So gehe ich vor, wenn tatsächlich Daten „verloren“ gehen oder ich erpresst werde.

Drittens: IT-Sicherheit ist ein Katz-und-Maus-Spiel, das nie wirklich vorbei sein wird. Wir haben in der IT-Sicherheit immer versucht, alles zu automatisieren und die Menschen von kritischen Entscheidungen fernzuhalten. Das fällt uns im Moment auf die Füße. Wir müssen die Nutzerinnen und Nutzer an die Hand nehmen und sie zum Teil eines tragfähigen Sicherheitskonzeptes machen. In Zukunft sollte es immer heißen: Nicht die IT gegen die Nutzer:innen, sondern die IT mit den Nutzer:innen. Da brauchen wir mehr Zusammenarbeit und vor allem auch eine bessere Fehlerkultur.