„Sie wurden gehackt“
Cyberangriffe nehmen rasant zu - auf Unternehmen wie auch auf Privatleute. Immer noch ist das Problembewusstsein für die potenzielle Gefahr zu klein, monieren Fachleute.
Der Mann kommt wie bestellt. Sicher sei es schon aufgefallen, sagt der Anrufer: Es gebe technische Probleme mit dem Onlinebanking. Ob er helfen könne? Er kann, Friedrich Hambrecht (Name geändert) sucht eine Geldanlage und kam auf der Webseite der Bank nicht weiter. Also empfiehlt der vermeintliche Berater ein neues Anlageprodukt, hakt bei einem späteren Anruf noch mal nach – und Hambrecht eröffnet ein Online-Testkonto mit 20 Euro. Tage später wird sich seine Bank melden: Warum er 200 000 Euro überwiesen habe?
Das Geld ist futsch, das Zielkonto auch, die Bank nach eigener Aussage machtlos. Hacker haben die passende Gelegenheit abgewartet, um sich mit gestohlenen Daten Hambrechts Vertrauen zu erschleichen. Nach einem falschen Klick ihres Opfers hatten sie Zugang zu seinem Onlinekonto und räumten es leer.
„Social Engineering“ nennen Fachleute diesen Betrug: Nicht der Computer wird geknackt, sondern der Mensch, der davor sitzt. „Diese Art von Angriffen hat sich massiv verstärkt“, sagt Achim Fischer-Erdsiek. Der IT-Spezialist des Versicherungsmaklers NW Assekuranz hat den Fall des Rentners miterlebt – und viele andere.
Seit Monaten rollt eine nie erlebte Welle von Cyberattacken auch über Deutschland hinweg. Die Angreifer legen Webseiten von Flughäfen und Behörden lahm, stören Kommunikationssysteme, stehlen Daten, erpressen Unternehmen, manipulieren Privatleute. Mal geht es ihnen um Geld, mal um die Störung eines technischen Systems oder schlicht darum, öffentliche Unruhe zu stiften. Sie arbeiten auf eigene Rechnung, im Auftrag eines Konkurrenten oder eines Geheimdienstes. Die Grenzen sind fließend, die Interessen kompatibel.
So häuften sich die Angriffe nicht zufällig vor einem Jahr. Der Rüstungshersteller Rheinmetall etwa registrierte in den Stunden vor dem russischen Einmarsch in die Ukraine „eine Flut von Cyberangriffen“, wie Vorstandschef Armin Papperger später berichtete. Enercon konnte plötzlich Tausende Windräder nicht mehr überwachen: Der Angriff mutmaßlich russischer Hacker auf die Kommunikation des KA-Sat-Satellitensystems gilt als erster „Hack in Space“.
Die Erpresserbotschaft auf dem Monitor konnten sich die Hacker in diesem Fall sparen. Sie hatten ihr Ziel erreicht, als die Systeme standen. Sonst geht es an dieser Stelle erst los: Die Botschaft „You are hacked“ ploppt auf Rechnern am anderen Ende der Welt auf, oder: „All your important files are stolen and encrypted“ – alle wichtigen Daten sind gestohlen und verschlüsselt. Mit freundlichen Grüßen zum Beispiel von Lockbit, der aktuell wohl gefährlichsten Hackergruppe. Für die Klärung der Zahlungsmodalitäten – je nach Opfer eine sechs- bis achtstellige Summe – möge man sich mittels der Messenger Tox oder Telegram melden. Dann seien die Rechner bald wieder frei und die geklauten Daten blieben geheim. Diese sogenannte Ransomware-Attacke wurde in den vergangenen Jahren zur Goldgrube für rund 20 professionelle Banden und ungezählte Trittbrettfahrer weltweit.
Im vergangenen Sommer etwa meldete sich Lockbit beim hannoverschen Continental-Konzern. Der Autozulieferer kämpft bis heute mit den Folgen. „Da liegen die Nerven ziemlich blank“, sagt ein mittelständischer Unternehmer, der so etwas erlebt hat. Von einer „unternehmerischen Nahtoderfahrung“ spricht Fischer-Erdsiek, der Cyberversicherungen vermittelt – Betreuung im Fall der Fälle inklusive.
Offenbar hat es fast jeder schon erlebt, wenn auch oft in abgeschwächter Form. Der Branchenverband Bitkom schätzt den Schaden zum Beispiel durch Betriebsausfälle allein für die deutsche Wirtschaft auf mehr als 200 Milliarden Euro pro Jahr. Doch die Dunkelziffer ist hoch: „In Wahrheit kann das keiner schätzen“, sagt ein Sicherheitsexperte.
„Nach unseren Umfragen erlebten 82 Prozent der Unternehmen in den vergangenen zwei Jahren Cyberattacken“, sagt Michael Deissner, Chef des Verschlüsselungsspezialisten Comforte. Deissner kritisiert heftig die Ahnungslosigkeit in vielen Betrieben. Das Selbstbild sei manchmal „so unrealistisch, dass man aufpassen muss, nicht laut loszulachen“.
Die Folgen der Attacken spüren immer öfter auch Normalbürger:innen. Denn das Spiel von Erpressung und stiller Lösegeldzahlung funktioniert nicht mehr so reibungslos. „Die Hacker brauchen ein neues Geschäftsmodell“, sagt Fischer-Erdsiek. „Lösegeldforderungen können aufgrund der Sanktionen immer seltener erfüllt werden.“ Nicht nur, dass immer mehr Unternehmen nicht zahlen wollen – oft können sie auch nicht: Seit Beginn des Ukraine-Kriegs verbieten die Sanktionen Überweisungen nach Russland.
Checkliste für mehr Sicherheit
Computerbetrug und Cyberattacken zu vermeiden und abzuwehren, ist kein Hexenwerk. So kann man die gröbsten Sicherheitslücken schließen:
1. Tipps für Privatanwender:innen
Hard- und Software: Auf alle Geräte gehört stets aktuelle Antivirensoftware. Eine Bildschirmsperre schützt vor Nachlässigkeit, für das Smartphone-Display gibt es Blickschutzfolien.
Verschlüsselung: Gespeicherte Daten auf dem Gerät, auf USB-Sticks oder in der Cloud können verschlüsselt werden. Auch E-Mail-Dienste bieten Verschlüsselung an.
Onlineaccounts: Neben sicheren Passwörtern schützt vor allem die Zwei-Faktor-Authentifizierung davor, dass ein Onlineaccount gekapert wird.
Verhalten: Kriminelle bewegen ihre Opfer mit Mails oder Anrufen, selbst auf Links zu klicken oder Dateien herunterzuladen, die dann den Computer infizieren. Die Banden sammeln auch Infos auf Social-Media-Plattformen, um Zugang zu bekommen. Also: Mit Informationen sparsam umgehen.
Hilfe: Tipps gibt es zum Beispiel bei der Initiative Deutschland sicher im Netz (DsiN, www.sicher-im-netz.de) oder dem Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de).
2. Tipps für Unternehmen
Analyse: IT-Sicherheit beginnt mit einer ehrlichen Einschätzung der Ist-Situation. Welche Folgen kann ein Angriff haben? Wie viele Nutzer:innen an welchen Endgeräten gibt es überhaupt? Wer hat welche Zugangsrechte? Wie wird mit Daten umgegangen? Dafür ist nicht nur die IT-Abteilung, sondern auch die Geschäftsleitung verantwortlich.
Maßnahmen: Das häufigste Einfallstor sind immer ausgefeiltere Phishing-Angriffe auf Beschäftigte. Schulungen und Phishing-Tests schaffen Aufmerksamkeit. Regelmäßige Schwachstellen-Scans und Software-Updates sind Pflicht. Sicherungsdateien werden physisch getrennt aufbewahrt. Eine Zweifaktor-Authentifizierung verhindert den externen Zugang zum System.
Blick von außen: Was weiß das Netz jetzt schon über mich? Spezialist:innen können erforschen, ob Hacker das Unternehmen schon umkreisen.
Notfallplanung: Notfallpläne mit Standardabläufen und klaren Verantwortlichkeiten müssen fertig und eingeübt, Ansprechpartner:innen bei Behörden und Beratern bekannt sein.
Hilfe: Neben spezialisierten Firmen helfen Industrie- und Handelskammern und regionale Wirtschaftsvereinigungen beim Aufbau eines Sicherheitskonzepts. stw
Dort aber sitzen viele Hacker. Oder im Iran. Und in Nordkorea oder China. Nordkorea sei „in puncto Cyberaggression ganz vorn“, sagt der Sicherheitsexperte eines Konzerns, der früher selbst beim Bundesnachrichtendienst war. Rund 4000 Hacker sollen dort im Regierungsauftrag westliche Systeme blockieren und die Staatskasse mit Lösegeld füllen.
Natürlich ließen sich Wege für das Geld finden. Aber kein westliches Unternehmen und schon gar keine Cyberversicherung kann es sich leisten, beim Sanktionsverstoß erwischt zu werden. Gibt es also irgendwo in der Kommunikation mit den Erpressern Hinweise auf russischen Ursprung, raten selbst abgebrühte Fachleute von Zahlung ab, und die Hacker müssen die Früchte ihrer Arbeit anders zu Geld machen. So landen immer mehr geklaute Datensätze tatsächlich wie angedroht im Darknet.
In diesem anonymen Bereich des Internets werden sie verkauft – an Spezialisten für Industriespionage oder eben für „Social Engineering“. Die Kunden- oder Mitarbeiterdaten aus gehackten Unternehmen liefern ihnen Telefonnummern und Adressen, Bankverbindungen, Alter und Beruf. Was fehlt, ist die PIN, der Zugangscode zum Konto. „Mit den Daten werden Callcenter ausgestattet, die funktionieren wie Drückerkolonnen“, sagt Fischer-Erdsiek. „Diese Leute sind extrem gut geschult und telefonieren den ganzen Tag potenzielle Opfer ab.“
Sie warten Gelegenheiten ab wie den Stillstand beim Onlinebanking, geben sich als Polizeibeamte, Bankberaterinnen oder Servicepersonal einer Softwarefirma aus, telefonieren lange und mehrmals. Das Opfer soll mitarbeiten, es geht angeblich um die Sicherheit seines Geldes, seines Computers oder die Überführung von Kriminellen.
Irgendwann klickt der ahnungslose Mensch auf einen Internetlink und gewährt ungewollt Zugang zum heimischen PC. Dann lesen sie heimlich beim Onlinebanking mit. PIN, TAN, Anmeldename – alles da. Bald darauf wandern nicht 20 Euro auf ein Testkonto, sondern 200 000 ins Nirgendwo. In zehn Tranchen verschwand Rentner Hambrechts Altersvorsorge. Für die Hackerbranche ist es einfach eine Variation in der Wertschöpfungskette.
„Conditions for Partners“ steht über einer Seite im Darknet. Darunter wird erklärt, wie Partner mit der Gruppe und ihrer Software LockBit arbeiten können. „Einzigartige Vorzüge sind die Verschlüsselungsgeschwindigkeit und die selbstständige Ausbreitung“, heißt es da. „Nur Du entscheidest während der Kommunikation, wie viel das verschlüsselte Unternehmen Dir zahlen wird.“ Danach sei ein Prozentsatz an die Urheber abzuführen. Kommuniziert wird über eine eigene Onlineplattform.
Den Zugang zu diesem „Control Panel“ hatte Mikhail Vasiliev gerade geöffnet, als kanadische Ermittler:innen Ende Oktober 2022 in seine Garage eindrangen, wo der 33-Jährige vor seinem Laptop saß. Inzwischen steht der Mann mit kanadischem und russischem Pass in den USA vor Gericht, und sein Laptop erzählt von Lockbit. Seit Anfang 2020 sind mit dieser Software laut FBI mindestens 1000 Cyberangriffe weltweit verübt worden.
Die Gruppe ist verzweigt, mit den Softwareentwicklern auf der einen Seite und wechselnden Anwendern – den „Partnern“ und eigentlichen Erpressern – auf der anderen. „Ransomware as a Service (RaaS)“ nennen das die FBI-Ermittler:innen. Das System ist robust, der Schlag vom vergangenen Herbst hat die Gruppe nicht aus dem Takt gebracht. Nach Zählung von Malwarebytes, einem Hersteller von Schutzsoftware, „bleibt Lockbit auch im neuen Jahr an vorderster Front“ mit 51 dokumentierten Attacken im Januar. Die wahre Zahl dürfte größer sein, denn gezählt wurden nur angebotene Daten im Darknet – also jene Fälle, wo kein Lösegeld geflossen ist.
Comforte-Chef Deissner glaubt, ein Mittel dagegen zu haben. Seine Software schütze zwar nicht vor Angriffen, mache aber das Geschäft kaputt. „Die verschlüsselten Daten können nicht erpresserisch genutzt werden – und dann wird es für Hacker langweilig“, sagt der frühere SAP-Manager, der auch Kreditkartenfirmen zu seinen Kunden zählt: „Allein Visa verschlüsselt mit unserem System 4000 bis 5000 Kundentransaktionen pro Sekunde.“
Zwar wächst das Problembewusstsein in Unternehmen, aber Fachleute raufen sich noch oft genug die Haare. „Cybersicherheit muss Chefsache sein“, sagt Deissner. „Aber das ist sie in vielen Organisationen noch nicht.“ Vielen sei nicht klar, dass sie schnell persönlich in der Haftung sind, wenn die IT-Sicherheit Löcher hat.