Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Ransomware Daten als Geisel – Zahl der IT-Erpressungen steigt

Cyberkriminelle verschlüsseln wichtige Daten von Unternehmen. Experten warnen: Ransomware-Angriffe werden professioneller, die Lösegelder höher.
Kommentieren
Hacker verdienen Millionen mit verschlüsselten Daten von Unternehmen. Quelle: picture alliance / Jürgen Lösel/
Kriminelle im eigenen Netz

Hacker verdienen Millionen mit verschlüsselten Daten von Unternehmen.

(Foto: picture alliance / Jürgen Lösel/)

Düsseldorf, Berlin Wie der Notfall begann, weiß Ansgar Heise noch ganz genau. Es war Montag, der 13. Mai, als auf seinem Bildschirm ein großes, rotes Dreieck aufblinkte: „Das war eine Virenwarnung, wie ich sie noch nie gesehen hatte.“ Der Manager, der als geschäftsführender Gesellschafter die Heise-Gruppe leitet, rief bei der IT an. Das System melde eine Schadsoftware, sagten ihm die Kollegen. Aber der Virus sei schon in Quarantäne.

Sie sollten sich irren. Das Programm verbreitete sich rasant im Unternehmen: Es infizierte zahlreiche Windows-Rechner und lud weitere Funktionen nach. Bald schon passierten merkwürdige Dinge im Netzwerk – so gab es verdächtige Zugriffe auf ein Verzeichnis mit Nutzerkonten. Die Administratoren versuchten, die Verbindung des Programms mit seinen Kommandoservern irgendwo im Internet zu unterbinden, jedoch vergeblich. In der Heise-Zentrale in Hannover tobte eine Abwehrschlacht gegen kriminelle Angreifer.

Es sieht danach aus, als ob die Täter das Unternehmen erpressen wollten, darauf lässt ihr Vorgehen schließen. So nutzten sie das Programm Emotet als Einbruchswerkzeug, das andere Funktionen nachladen kann. Zum Beispiel, um im Netzwerk wichtige Dateien zu verschlüsseln. Für die Freigabe soll das Opfer zahlen. Ransomware wird diese Art von Virus genannt – „ransom“ ist das englische Wort für Lösegeld.

Derartige Fälle häufen sich. Erst vor wenigen Wochen waren Internetkriminelle auf diese Art beim Hamburger Juwelier Wempe erfolgreich. Laut „Hamburger Abendblatt“ soll der Juwelier mehr als eine Million Euro überwiesen haben, was das Unternehmen nicht kommentiert. Immer wieder sind Krankenhäuser betroffen, kürzlich etwa eine Kette des Deutschen Roten Kreuzes mit 13 Häusern im Südwesten der Republik. Und Ende 2018 hatte der Maschinenbauer Krauss Maffei mit einem derartigen Fall zu tun.

Es sind nur einige Beispiele für ein grassierendes Problem. 31 Prozent der deutschen Unternehmen waren in den vergangenen zwei Jahren Opfer von Ransomware, wie die Beratung KPMG in einer Umfrage ermittelt hat. Weitere 28 Prozent verzeichneten Angriffsversuche. Die Kriminellen haben die Wirtschaft als lukratives Betätigungsfeld entdeckt. Kein Wunder: Die Kombination aus wenig Risiko und viel Ertrag macht Ransomware zum nahezu perfekten Verbrechen.

„Die Qualität der Angriffe hat deutlich zugenommen, sie werden immer spezialisierter“, so Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), gegenüber dem Handelsblatt. Auch kleine und mittelständische Unternehmen, Stadtverwaltungen und Kommunen seien gefährdet – hier gibt es durchaus etwas zu holen. „Sie greifen dort an, wo es besonders wehtut, es geht ihnen um maximalen Schaden“, warnt Schönbohm. Das Kalkül: Wer viel zu verlieren hat, der zahlt auch viel.

Täuschend echte E-Mails

Dass ausgerechnet die Heise-Gruppe von Ransomware betroffen ist, ist bittere Ironie. Im Tochterunternehmen Heise Medien erscheinen die renommierten Fachmedien „c’t – magazin für computertechnik“ und „Heise Online“. Das Webportal warnte im September 2017 erstmals vor Emotet: „Akute Gefahr geht von einer Schädlingswelle aus, die per E-Mail anrollt.“ Demnach versteckten Täter ihren Schadcode in Word-Dokumenten, die wie Rechnungen aussahen. Mit einem Klick konnte er sich installieren, zumindest wenn Makros aktiviert waren – also Programme, die Arbeitsschritte automatisieren.

Das steht exemplarisch für Ransomware, wie Kriminelle sie seit Jahren einsetzen: Sie verschicken eine E-Mail mit einem infizierten Anhang. Öffnet der Nutzer ihn, installiert er versteckte Software und lädt automatisch weitere Funktionen übers Internet nach – etwa einen Verschlüsselungsmechanismus, der wichtige Dateien wie Dokumente und Datenbanken, E-Mail-Verzeichnisse und Fotos unlesbar macht. Alternativ funktioniert das auch über eine präparierte Website.

Grafik

Ist die Arbeit beendet, hinterlassen die Kriminellen eine Nachricht, in der sie für die Freigabe ein Lösegeld verlangen – zu zahlen in der Kryptowährung Bitcoin, deren Spuren sich leicht verwischen lassen. Ein zweifelhafter Service: Häufig wird sogar auf eine Anleitung verwiesen, wie die Betroffenen die Kryptowährung kaufen können.

Was die Angriffe bis heute so gefährlich macht, ist die Tarnung. Die Täter nutzen E-Mails, die sie woanders erbeutet haben. Für den Empfänger wirkt es, als habe er ein Antwortschreiben auf eine frühere Nachricht erhalten – abgesendet von einer Person, die er mit Sicherheit kennt. Kaum jemand würde da Verdacht schöpfen.

Die Erstinfektion bei Heise – Fachleute sprechen vom „Patient Zero“ – erfolgte beispielsweise bei einem Mitarbeiter, der eine E-Mail eines Hotels erhalten hatte. „Wir bringen dort viele Leute unter, insofern war es völlig unverdächtig, dass sie uns baten, unsere Daten im angehängten Word-Dokument zu prüfen“, sagt Geschäftsführer Heise. Er nehme dem Kollegen die folgenschweren Klicks daher nicht übel. „Das wäre mir auch passiert.“

Unternehmen als lukrative Ziele

Zudem haben die Kriminellen gelernt, dass sie in der Wirtschaft weitaus mehr holen können als bei einzelnen Anwendern. „Dabei werden die Angriffsmethoden immer komplexer“, sagt BSI-Präsident Schönbohm. Die Banden infizieren zunächst die Firmen-IT – beispielsweise mit Emotet – und kundschaften sie aus. „Dann schleusen sie die passende Schadsoftware ein und verschlüsseln gezielt wichtige Daten“, erläutert Schönbohm. Im schlimmsten Fall sind sogar die Sicherungskopien darunter.

Die IT-Sicherheitsfirma Malwarebytes diagnostiziert sogar eine weitgehende Verschiebung von Privatpersonen zu Organisationen. Besonders gefährdet seien Kommunen, Bildungseinrichtungen und Gesundheitsorganisationen – „sie wurden zu Hauptzielen, wahrscheinlich aufgrund der bestehenden Infrastruktur, veralteter Hard- und Softwareanwendungen und fehlender Sicherheitsfinanzierung in diesen Sektoren“.

Sprich: Krankenhäuser und Kommunen tun deutlich zu wenig, um sich zu schützen. Beispiele dafür gibt es zuhauf. Von Kliniken, die aufgrund eines Verschlüsselungstrojaners Operationen verschieben und auf den Betrieb mit Klemmblock und Stift umstellen, bis zu mehreren Kleinstädten in den USA, die weder E-Mails beantworten noch die Gehälter überweisen können.

Grafik

Für eine Neuausrichtung der Kriminellen spricht zudem, dass sich Banden zunehmend darauf spezialisieren, Infrastruktur wie Cloud-Dienste und Rechenzentren zu identifizieren, wie der IT-Dienstleister Vectra feststellt. Wenn es gelinge, ein solches Laufwerk zu verschlüsseln, führe das zu einem „globalen Einfluss auf die Geschäfte und Systeme der Zielorganisation“. Im schlimmsten Fall geht nichts mehr.

Was die Erpressung 2.0 ebenfalls lukrativ macht: Kriminelle Gruppen passen ihre Forderungen mittlerweile sehr genau auf die angegriffene Organisation an. Mehrere Städte in Florida zahlten beispielsweise 500 000 Dollar oder mehr, um wieder an ihre Daten zu gelangen. Bei einigen Unternehmen werden auch Summen im Millionenbereich verlangt – die genaue Höhe handeln Opfer und Täter manchmal per E-Mail aus. Zum Vergleich: Als erste Ransomware-Wellen ab 2015 Tausende von PCs lahmlegten, betrugen die Forderungen umgerechnet nur ein paar Hundert Euro.

Erfolgreicher Notarzteinsatz

Heise konnte das Worst-Case-Szenario verhindern. Die Administratoren reagierten schnell, sie klemmten die IT vollständig vom Internet ab. Selbst alle Firmenkreditkarten wurden gesperrt. Was half: Die Fachredakteure kannten durch ihre Recherchen Sicherheits‧experten und IT-Forensiker persönlich. „Das war wie beim Notarzteinsatz, die waren sofort da“, sagt Firmenchef Ansgar Heise.

Und auch wenn der Manager einiges über Viren, Trojaner und Schwachstellen lernen musste, er lernte es sehr schnell – und entschied konsequent. „Als ich dann nicht mehr am Computer arbeiten konnte, habe ich mich in die Lobby gesetzt und die Mitarbeiter beruhigt.“ Tatsächlich habe er in diesen Tagen auch viel über seine Mannschaft erfahren. „In der Krise fühlen sich plötzlich alle wie in der Wagenburg. Alle zogen mit. Die Mitarbeiter leisteten Erstaunliches“, sagt Heise.

Einige richteten ein Internetcafé ein, andere legten Bypass-Konstruktionen, um wenigstens einige Rechner am Netz zu halten. Wieder andere entdeckten das Faxgerät als Kommunikationsmittel wieder. „Ich hatte zu keinem Moment das Gefühl, dass uns der Vorfall die Existenz hätte kosten können.“ Am Ende bliebt trotzdem nur die Radikalkur. „Wir haben alles niedergebrannt, das System plattgemacht“, sagt Heise. Eine Reparatur sei keine Option gewesen, der Erreger hätte irgendwo versteckt überleben können.

Grafik

Die Notoperation hat bislang 100.000 Euro gekostet. Das neue Sicherheitskonzept, das mittlerweile erkannte Lücken abdichten soll, schätzt Heise auf eine halbe Million Euro. Das dürfte fürs Unternehmen schmerzlich, aber zu verkraften sein. 2017 lag der Umsatz der Heise-Gruppe bei 174 Millionen Euro, der Jahresüberschuss bei 20 Millionen Euro. Intern werde nun sehr genau überlegt, wie die IT dauerhaft geschützt werden kann und ob man sich doch gegen Betriebsausfälle versichern sollte, sagt Heise.

Viele kommen jedoch nicht so glimpflich davon. Gut ein Viertel der betroffenen deutschen Unternehmen hat nach Ransomware-Angriffen Betriebsausfälle erlitten, wie KPMG ermittelt hat. Teils dauerten diese mehrere Tage an. Damit steigen die Kosten, wie einige prominente Beispiele zeigen. So verlor der amerikanische Pharmakonzern Merck mehr als 600 Millionen Dollar, eine dänische Reederei rund 300 Millionen Dollar, die Logistikfirma TNT Express ebenfalls. Allein die Software NotPetya verursachte nach einer Schätzung der US-Regierung einen Schaden von zehn Milliarden Dollar.

Lernen aus den Fehlern

Angesichts der Bedrohungslage fordern Fachleute, dass Geschäftsführer und Vorstände das Thema auf ihre Agenda setzen. „Es ist ein Irrglaube, dass ein einfaches Anti-Viren-Programm als Schutz schon reichen würde“, sagt BSI-Präsident Schönbohm. „Es geht heute um Fragen der Netzwerkarchitekturen und wie man Teilsysteme sinnvoll abschottet.“
Sinnvoll seien zudem Cyberversicherungen, die für Schäden aufkommen. Ein erwünschter Nebeneffekt, so Deutschlands oberster IT-Schützer: Vor dem Abschluss einer Police müssen sich Unternehmen über ihr IT-Risiko‧management klar werden. „Was muss ich zwingend schützen? Was sind meine Schwachstellen? Welche Schäden drohen im schlimmsten Fall?“

Von der Zahlung der Lösegelder rät Schönbohm dagegen ab. „Ich kann davor nur warnen, denn es gibt keine Garantie, dass die Täter den Schlüssel wieder rausrücken.“ Außerdem sei das eine Bestätigung fürs Geschäftsmodell. „Es ist leider wahrscheinlich, dass sich die Angreifer nach dem Juwelier Wempe nun andere große Juweliergeschäfte sehr genau ansehen“, nennt Schönbohm ein Beispiel.

Viele andere Opfer wollen über derartige Angriffe nicht öffentlich sprechen: Sie fürchten Imageschäden. Die hauseigenen Medien bei Heise hingegen begleiten den Fall offensiv. „Wir müssen auch unseren Job als Presseunternehmen machen“, gibt Heise die Linie zu maximaler Transparenz vor.

Tatsächlich spielt der Zwischenfall heute sogar etwas Geld ein. Die Gruppe bot unlängst eine Onlineschulung mit dem Titel „Emotet bei Heise – Lernen aus unseren Fehlern“ an. Die Veranstaltung war ausverkauft. Wer sie verpasst hat, kann den Stream anschauen. Das kostet 149 Euro.

Mehr: Hacker richten Millionenschäden an. Um sich gegen die Angriffe aus dem Netz zu wappnen, können Unternehmen nun eine Versicherung abschließen.

Startseite

Mehr zu: Ransomware - Daten als Geisel – Zahl der IT-Erpressungen steigt

0 Kommentare zu "Ransomware: Daten als Geisel – Zahl der IT-Erpressungen steigt"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote