Cybersichere Wirtschaft : Darknet Monitoring – den Cyberkriminellen um einen Schritt voraus sein

Wie dramatisch die Auswirkungen eines Cyberangriffs sein können, musste die Modekette Marc O’Polo erleben, die am 13. September 2019 Opfer einer Ransomware-Attacke wurde. Von einem Tag auf den anderen standen alle Systeme vom zentralen Enterprise Ressource Management (ERP) und Microsoft Office bis zu den Kassen- und Verkaufssystemen still. Nichts ging mehr, die Geschäftstätigkeit kam zum Erliegen.

Cyberkriminelle denken wie Unternehmer

„In den Geschäften blieben die Kassen leer. Denn die Kassensysteme und die gesamte Logistik funktionierten nicht mehr. Mitarbeiter:innen organisierten sich aus umliegenden Drogeriemärkten Quittungsblöcke, um das System zumindest manuell am Laufen zu halten“, erinnert sich Patric Spethmann, COO von Marc O’Polo. Nach Entdeckung der Erpressung nahm das Unternehmen Kontakt zu Forensikern, Beratern und der Bank auf.

„In den nächsten Tagen bestimmten organisatorische Maßnahmen unser Handeln. Wir setzten einen 24h-Service auf, richteten Schlafplätze auf dem Marc O’Polo Campus ein und stellten Essen und Duschen rund um die Uhr bereit“, schreibt Spethmann im Tagesspiegel Background. Zehn Tage später konnte Marc O’Polo seine IT-Systeme wieder starten und insgesamt vier Wochen dauerte es, bis alles wieder lief und der Albtraum ein Ende hatte.

Die schlechte Nachricht: Marc O’Polo ist durch die Ransomware-Attacke und den dadurch bedingten Komplettausfall sämtlicher IT-Systeme ein beträchtlicher Schaden entstanden. Die gute Nachricht: Albträume solcher Art sind vermeidbar. Dabei hilft es, sich in die Gedankenwelt und Motivationsstruktur der Angreifer zu versetzen. Cyberkriminelle sind Geschäftsleute, die Geld verdienen wollen. Sonst steckt, mit Ausnahme etwa von politisch motivierten Angriffen auf die Kritische Infrastruktur eines Landes, nichts dahinter. Cyberverbrecher denken wie Unternehmer, die ihre Geschäfte möglichst effizient und gewinnbringend abwickeln wollen.

Dazu gehört, wie in jedem gut geführten Unternehmen auch, Arbeitsteilung. Die Mitglieder der Cyberwelt spezialisieren sich auf das, was sie besonders gut beherrschen. Einige verschaffen sich mithilfe spezieller Techniken wie etwa SQL Injection Zugang zu den IT-Systemen eines Opfers, andere versenden Phishing-Nachrichten, um die Empfänger mithilfe psychologisch subtiler Social-Engineering-Methoden unter Druck zu setzen und zur Herausgabe ihrer Zugangsdaten zu bewegen.

Gehandelt werden die gestohlenen und oft vertraulichen Daten, Logins, Pins, Passwörter, Identitäten oder Mailzugänge im Darknet, dem nicht ohne Weiteres zugänglichen Teil des World Wide Web, der 95 Prozent des gesamten Web ausmacht. Cyberkriminalität ist heute hochprofessionell organisiert; unter den Cyberkriminellen haben sich deshalb bestimmte „Berufsgruppen“ herausgebildet.

Besonders spannend sind die Initial Access Broker, sozusagen die Immobilienmakler des Darknets. Sie bieten die ergaunerten Zugänge in Darknet-Foren ähnlich wie auf einem Marktplatz zum Verkauf an. Der Käufer nutzt die Zugänge, um zum Beispiel sensible Daten zu stehlen oder, wie bei Marc O’Polo, die IT-Systeme zu verschlüsseln und Lösegeld zu fordern. Wie bereits erwähnt: Es geht immer um Geld und gute Geschäfte.

Licht ins dunkle Darknet bringen

Nun zur oben versprochenen guten Nachricht: Durch sogenanntes Darknet Monitoring lassen sich Attacken im Vorfeld identifizieren und durch Präventivmaßnahmen unterbinden. So sind wir beispielsweise im Zuge unserer Recherchen im Darknet auf die Zugangsdaten einer großen deutschen Versicherung gestoßen, die auf einem der Marktplätze zum Verkauf angeboten wurden.

Natürlich haben wir den „Fund“ der Versicherung gemeldet. Zwischen dem Verkauf der Daten und dem Angriff vergeht in der Regel einige Zeit und das Unternehmen konnte rechtzeitig Schutzmaßnahmen einleiten, Sicherheitslücken schließen und Zugangsdaten ändern. Solche durch Darknet Monitoring recherchierten Informationen sind Gold wert und helfen, Schäden in Millionenhöhe zu verhindern.

Ransomware – Lösegeld zahlen oder nicht zahlen

Ransomware-Angriffe wie auf Marc O’Polo sind immer mit meist hohen Lösegeldforderungen verbunden. Nachdem sich die erste Panik unmittelbar nach dem Angriff und dem Komplettausfall der IT-Systeme gelegt hat, stellt sich deshalb dem betroffenen Unternehmen immer die Gretchenfrage: Zahlen wir, oder zahlen wir nicht.

Das No-Pay-Szenario geht davon aus, dass das angegriffene Unternehmen den Re-Start seiner Systeme selbst übernimmt, indem es die infizierten IT-Systeme säubert und Backups einspielt. Lückenlose und regelmäßig durchgeführte Backups, die ohne Netzanbindung an die produktiven IT-Systeme aufbewahrt werden, sind dabei die Voraussetzung.

Außerdem ist ein sehr gründliches Vorgehen besonders wichtig. Auch wenn das Backup sämtliche Systeme wiederherstellt, besteht die Gefahr, dass die Cyberkriminellen nach wie vor Schadsoftware im System versteckt haben. Ein Wiederanlauf in Verbindung mit modernster Abwehr- und Containment-Systemen ist daher unvermeidbar.

Sind die Sicherheits-Backups unvollständig oder fehlerhaft, bleibt meist nichts anderes übrig, als in den sauren Apfel zu beißen und das Lösegeld zu bezahlen. Gefordert wird eine nach Einschätzung der Angreifer am Unternehmenswert orientierte Summe in Bitcoin oder einer anderen Kryptowährung.

Entschlüsselte Systeme werden anschließend völlig abgeschottet von der neuen Umgebung wieder in Betrieb genommen und Daten nach genauer Prüfung und „handverlesen“ übernommen. Auf diese Weise kann gesichert werden, dass keine Schadsoftware in die neue Infrastruktur wandert.

Thomas Lang ist Geschäftsführer von Intargia und Partner beim IT-Beratungshaus Valantic, zu dem Intargia seit 2018 gehört. Intargia war als Beratung beim Management des Cybervorfalls bei Marc O’Polo involviert.