Ransomware-Angriffe: Der Mann, der die Hacker hackt

Er sucht Schwachstellen im Schadcode, damit betroffene Firmen die Daten, die die Kriminellen verschlüsseln, auch ohne Zahlung wieder frei bekommen. Zum Schutz ist er nach London gezogen, seine Adresse nennt er nicht. „Der Job hat einen Preis.“

Wosar, der technischer Direktor des neuseeländischen IT-Sicherheitsunternehmens Emsisoft ist, ist ein gefragter Mann, denn Ransomware ist das beliebteste Angriffswerkzeug der internationalen Internetkriminalität geworden. Auch auf der Jahrestagung Cybersecurity 2019 des Handelsblatts in Berlin kam kaum ein Redner ohne Verweis auf die Welle der digitalen Erpressungen aus.

„Die Cyberangriffe werden zunehmend gezielt und mit neuer Qualität ausgeführt“, warnte zum Beispiel Andreas Könen, Ministerialdirektor im Innenministerium. „Wir sehen Methoden, die bislang bei staatlichen oder professionellen Angreifergruppen eingesetzt wurden.“

Angriffe immer trickreicher

Auch Fabian Wosar hat eine beunruhigende Botschaft: „Wir sehen derzeit, dass circa 60 Prozent aller weltweiten Ransomware-Attacken auf Firmen und öffentliche Einrichtungen in den USA konzentriert sind.“ Trotz aller spektakulären Fälle sei Deutschland bislang nur wenig im Fokus der Kriminellen: „Die haben bei uns noch gar nicht richtig angefangen.“

Die wohl größte Gefahr verbreitet Emotet. Das Programm ist in der Lage, E-Mails im Postfach auszulesen und im Namen von bekannten Personen zu antworten – oft täuschend echt. Klickt ein Nutzer auf den präparierten Anhang, können die Kriminellen mit weiteren Modulen das Netzwerk ausspionieren und Dateien verschlüsseln. Die Methoden würden so verfeinert, „dass jeder irgendwann mal darauf reinfallen wird“, sagte Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Ob beim Hamburger Luxusjuwelier Wempe, der Heise-Verlagsgruppe in Hannover oder dem Automatisierungsspezialisten Pilz aus Ostfildern bei Stuttgart – fast im Wochenrhythmus werden neue Angriffe nach diesem Muster bekannt. Meist handele es sich um gezielte Angriffe, sagte Michael Sauermann, Partner bei der Beratung KPMG: Die Ransomware enthalte teils sogar den Namen des Unternehmens, in dem sie aktiv werde. Zudem sei die Software heute in der Lage, „komplette Infrastrukturen“ zu verschlüsseln.

Mit solchen Problemen beschäftigt sich Fabian Wosar schon lange. Im Alter von elf kaufte er sich seinen ersten Computer – um ihn zu bezahlen, hatte er lange Flaschen und Altpapier sammeln müssen. Das Gerät infizierte er unabsichtlich mit einem Virus.

Wosar lieh sich in der Bibliothek Bücher über das Thema aus und schrieb sein eigenes Anti-Virus-Programm. Mit 18 fing er bei Emsisoft an – ohne formale Ausbildung. Heute ist der Autodidakt ein gefragter Experte für Ransomware, nach dem eine kriminelle Gruppe sogar einmal ihr Programm benannt hat: Fabiansomware.

Für den IT-Experten ist der Kampf gegen Ransomware mehr als ein Job. Er verbringt einen beträchtlichen Teil seiner wachen Zeit vor dem Computer. Einmal arbeitete er 35 Stunden am Stück durch, bevor er auf der Tastatur einschlief. Beim Aufwachen hatte er die Tastenabdrücke im Gesicht.

Und selbst wenn er im Bett liegt, ist das Gerät eingeschaltet: „Der Rechner läuft 24/7“ – etwa um komplizierte Entschlüsselungsaufgaben zu erledigen. Die Wohnung teilt er sich mit zwei Katzen. Viel mehr möchte er über sein Privatleben sicherheitshalber nicht erzählen.

Polizei und Behörden wie das BSI raten dringend davon ab, das Lösegeld zu zahlen – um die Kriminalität nicht weiter zu fördern. Doch die Realität ist offenbar eine andere. „Die geforderten Summen tun weh, aber sie töten die Firma nicht. Die meisten Chefs wählen die Option zu zahlen“, sagt Wosar. Wenn es um die Existenz gehe, seien Prinzipien nicht mehr so wichtig. Allein die vom Emsisoft-Technikchef im Jahr 2019 bearbeiteten Fälle kämen auf ein Lösegeldvolumen von rund 350 Millionen US-Dollar.

Die meisten Firmen zahlen

Wer der Forderung nachkomme, bekomme in 90 Prozent der Fälle von den Kriminellen Entschlüsselungswerkzeuge an die Hand, sagt Wosar. Hier kommt der IT-Spezialist wieder ins Spiel: Die Entschlüsselungsprogramme der Kriminellen, Decrypter genannt, seien „teilweise dermaßen schlecht, dass sie nicht richtig funktionieren“. Die Firmen wenden sich dann an Emsisoft, um Hilfe bei der Entschlüsselung zu erhalten.

So kam im Sommer ein großer Mittelständler zu Wosar, bei dem Angreifer 64 Server verschlüsselt hatten. „Decrypter“ gab es aber nur für 61 Geräte. „Das Problem konnten wir in vier Stunden lösen. Die Schadsoft‧ware hatte eine Schwachstelle, die Entschlüsselungssoftware hätten wir gar nicht gebraucht.“ Tragisch für die Firma: Das Lösegeld war schon weg.

„Oft ist die Ransomware komplett unsicher“, sagt Wosar. „Das ermöglicht es, die Verschlüsselung auszuhebeln, ohne dass man dafür zahlt.“ Der IT-Sicherheitsspezialist appelliert an Unternehmen wie Privatkunden, sich bei Infektionen zunächst zu erkundigen, etwa bei Projekten wie „No More Ransom“. Dort bieten Unternehmen und Behörden Entschlüsselungswerkzeuge für viele Ransomware-Programme an – kostenlos. Auch Emsisoft beteiligt sich daran.

Zwei Trends beobachtet Wosar: Die Erpressung von Privatpersonen gehe zurück, weil die geringen Erträge den Aufwand für die Kriminellen nicht lohnen. Besonders gefährdet seien hingegen IT-Dienstleister, im Fachjargon Managed Service Provider (MSP) genannt: Sie kümmern sich im Auftrag von Firmen beispielsweise um E-Mail-Systeme oder Rechenzentren.

Einige kriminelle Gruppen hacken diese gezielt – in den USA legte der Angriff auf einen Softwarelieferanten die IT-Systeme Hunderter Zahnarztpraxen lahm. Siebenstellige Lösegelder seien bei IT-Dienstleistern die Norm, sagt Wosar – meist, ohne dass die Öffentlichkeit etwas mitbekommt. Der Deutsche wird sich noch lange unbeliebt machen können.

Mehr: Ransomware – Der Fall Wempe zeigt, wie verwundbar die IT im Mittelstand ist.