Erweiterte Suche

Cybersecurity

Standpunkt

Ransomware-Angreifer, die Freibeuter der Moderne

Richard Werner, Business Consultant bei Trend Micro
Richard Werner, Business Consultant bei Trend Micro Foto: Richard Werner, Business Consultant

Was früher die kaum erforschten und kaum kontrollierten Ozeane waren, ist heute das Internet. Ein fast rechtsfreier Raum, in dem unbekannte Täter ihre Opfer angreifen und Lösegeld fordern. Damals ging es um Gold, heute um Daten und Kryptowährungen. Bis die Politik angemessen reagiert, müssen sich Unternehmen auf harte Zeiten einstellen.

von Richard Werner

veröffentlicht am 06.01.2022

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Im Mittelalter gab es keine Computer und kein Internet. Trotzdem gibt es bei Ransomware-Akteuren, die Unternehmen angreifen, Systeme verschlüsseln und dann Lösegeld fordern, eine Parallele zu dieser Zeit. Damals gab es Freibeuter auf dem Meer, Seefahrer, die Handelsschiffe angriffen und einen Teil ihrer Beute forderten.

Das Internet – ein Ozean voller lukrativer Ziele für Cyberkriminelle

Früher waren Tatorte noch kaum bekannte Ozeane; eine durch Staaten nicht kontrollierbare, und damit gesetzlose Welt. Heute haben wir das Internet: ein rechtsfreier Raum, der durch Verschlüsselungsmethoden seinen Protagonisten Anonymisierung bietet, vergleichbar mit den Piraten, die sich an Kaufleute heranmachten und erst im letzten Moment ihre Flagge hissten. Berüchtigte Piraten nutzten dabei eigene Erkennungsflaggen, so dass potenzielle Opfer sofort wussten, mit wem sie es zu tun bekamen.

Auch Ransomware-Täter geben sich klangvolle Namen, indem sie sich mit dieser Bezeichnung an die Öffentlichkeit wenden oder bestimmte Zeichenketten wie eine Unterschrift in ihrem Code hinterlassen. Prominente Beispiele sind REvil, Emotet oder Darkside. Die Namen setzten sich durch, weil sie weniger technisch klingen als die üblichen Bezeichnungen. Zudem platzieren sich die Gruppen medienwirksam, indem sie beispielsweise mit Presseverteilern Kontakt aufnehmen.

Ihre Vorgehensweise ist immer gleich: Die Angreifer wollen ihre Opfer einschüchtern und anfälliger für Erpressungen zu machen. Dabei versuchen sie, sich als „glaubwürdige“ Bösewichte darzustellen, die man besser nicht herausfordert. Eine Taktik, die im Mittelalter bereits der berühmte Freibeuter Sir Francis Drake anwendete. Er versprach seinen Feinden Milde, wenn sie seinen Forderungen ohne Kampf nachkamen.

Daten sind das Gold der Moderne

Im 16. und 17. Jahrhundert war das „Goldene Zeitalter“ der Freibeuterei und Gold eine Währung, die überall ohne besondere Kontrolle gehandelt werden konnte – ob in Spanien gestohlen und in England ausgegeben, sie hatte überall denselben Wert, keine Umrechnung, keine Gebühr, keine Nachweispflicht der Herkunft.

Das Gold der Moderne sind Daten. Sie stellen einen Wert dar, der schnell gestohlen und praktisch überall eingesetzt werden kann. Lösegeld wird in Kryptowährungen bezahlt. Sie unterliegen keiner Kontrolle durch eine Bank oder staatliche Aufsicht und machen es den modernen Freibeutern leicht, riesige Summen zu erpressen und die Gelder so schnell zu waschen, dass Ermittlern die Zusammenhänge oft zu spät bekannt werden.

Doch das sind nicht alle Parallelen. Auch für Freibeuter war damals ein „sicherer Hafen“ entscheidend, in dem sie vor ausländischer Strafverfolgung sicher waren. Das erinnert an die jüngsten Erfolge im Rahmen der REvil-Ermittlung. Es scheint den Strafverfolgern tatsächlich gelungen zu sein, einen der Haupttäter der Ransomware-Gruppe, die laut Medienberichten bei ihrem Angriff auf den IT-Dienstleister Kaseya weltweit bis zu 1.500 Unternehmen zeitgleich infizierte, zu identifizieren. Aber das bedeutet nicht, dass sie ihn auch strafrechtlich belangen können.

Weniger Verfolgung im Ausland

Denn der Verdächtige Nikolay K. wird in Russland vermutet. Und die mit ihm in Verbindung gebrachte Software ist so programmiert, dass sie nicht funktioniert, wenn sie im russischen Sprachraum eingesetzt wird. Vermutlich hat Nikolay K. seine Taten also in einem anderen Land begangen. Da Russland allerdings immer wieder in Zusammenhang mit Cyberangriffen steht, erhofft er sich vielleicht, dass seine Taten so nicht verfolgt werden. Die Frage ist nun, ob das Land den Verdächtigen ausliefern wird, oder nicht.

Die Situation ist kein Einzelfall und Russland nicht das einzige Land, welches Wirtschaftskriminelle, die eine Straftat im Ausland begangen haben, nicht verfolgt. 

Der amerikanische Präsident Joe Biden sprach in einer Reaktion auf den Colonial Pipeline-Angriff, durch welchen temporär die Erdölversorgung der US-Ostküste gefährdet wurde, davon, die Täter seien in Russland zu finden, seien aber nicht staatlich gefördert. Dennoch machte er deutlich, dass Staaten mehr dafür tun müssten, gegen solche Verbrecher vorzugehen. Die US-Regierung hatte hierzu im Oktober eine Konferenz von 30 Ländern einberufen, um diese Vorgehensweisen zu debattieren. Russland war nicht eingeladen.

Es wäre falsch, Täter nur in einem Land zu suchen, denn Kriminalität ist global. Ermittlungserfolge der Polizei gab es z.B. in der Ukraine (Emotet) und in Deutschland (Cyber Bunker). Darüber hinaus werfen Experten manchen Ländern offen moderne Freibeuterei vor. Sie vermuten beispielsweise, dass die „Lazarus Gruppe“ für Nordkorea Devisen beschafft – durch Cyberkriminalität. Bei China gehen sie von Wirtschaftsspionage aus. Russland werfen sie staatliche Spionageangriffe vor. Handelssanktionen scheinen kaum zu funktionieren.

Angriff und Gegenangriff

Sollten sich die Unternehmen deshalb mit Offensivwaffen ausrüsten? Im Fachjargon heißt das Hackback. Die Theorie ist einfach. Man identifiziert, woher der Cyberangriff kommt, und anschließend wird diese Quelle durch eigene offensive Maßnahmen ausgeschaltet. Ein modernes Seegefecht also, dessen Breitseiten DDoS-(Distributed Denial of Service)-Attacken sind und deren Kaperaktionen aus Zugangsdaten zu Netzwerken bestehen. Ein Gefecht, in dem der Stärkere gewinnt.

Doch schon zur Zeit der Freibeuterei verwischten sich immer mehr die Grenzen zwischen Tätern und Opfern. Jeder war bewaffnet und jeder griff an. Auch bei Hackbacks geht es darum, offensiv vorzugehen und zurückzuschlagen. Es könnte auch gesteuerte „Gegenschläge“ geben. Sabotageaktionen könnten dadurch durchgeführt werden, dass man den Angriff eines Unternehmens vortäuscht und die eigentliche Tat den Hackbackern überlässt oder sogar einen Hackback inszeniert. Die Frage ist dann, auf wen eigentlich zurückgeschossen wird.

Diskussionen in der Politik

Optimisten sind der Ansicht, dass es gelingen wird, Russland und China davon zu überzeugen, diese Taten international zu verfolgen und damit auch kleineren Ländern wie Nordkorea eine deutliche Warnung zukommen zu lassen.  

Pessimisten fragen sich, warum Länder, die sich ohnehin in einem Handelskrieg befinden und wirtschaftliche Vorteile haben, von dieser für sie einträglichen Form der Freibeuterei ablassen sollten. Die Tatsache, dass inzwischen auch in der deutschen Politik darüber diskutiert wird, die technischen Möglichkeiten zu schaffen, mit Bundestrojanern offensiv gegen Angreifer vorzugehen oder gegebenenfalls Hackbacks zu koordinieren, zeigt, dass unsere Politiker sich darauf vorbereiten, mit gleichen Mitteln zurückzuschlagen. 

Immerhin gibt die Ablehnung dieser Maßnahmen im Ampel-Koalitionsvertrag momentan etwas Grund zur Hoffnung. Denn, um ein Waffenproblem zu lösen, sind mehr Waffen selten die richtige Antwort. Unternehmen allerdings müssen sich auf harte Zeiten einstellen. Sie müssen dafür sorgen, dass sie in der Lage sind, den Feind rechtzeitig zu erspähen (Detection) und sofortige Gegenmaßnahmen zu ergreifen (Response), um ihm zu entkommen. Dafür aber muss ihre gesamte Umgebung schnell zu steuern sein, die richtigen Handgriffe kennen und nicht allzu schwerfällig vor sich „hindümpeln“.

Richard Werner ist Cybersicherheitsexperte und arbeitet seit mehr als zwanzig Jahren in unterschiedlichen Rollen für das japanische Software- und IT-Sicherheitsunternehmen Trend Micro. Aktuell ist er Business Consultant.

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen