Verschlüsselung mit Ransomware Wie Hacker Firmen in Mitteldeutschland attackieren

Es ist der Unternehmer-Alptraum: Plötzlich sind alle Daten verschlüsselt, niemand kann mehr arbeiten. Professionelle Hackerangriffe durch Ransomware nehmen zu, doch die Polizei ist weitestgehend machtlos. Die Täter sitzen im Ausland – und die meisten Firmen zeigen Angriffe gar nicht erst an.

 IT Security Wissenschaftler trainieren im Raum "Cyber Range" im neuen Cybersicherheitszentrum "Athene", wie eingeschleuste Erpresser-Programme ("Ransomware") unschädlich gemacht werden können.
Kleine und mittlere Unternehmen geraten verstärkt ins Visier von Erpressern. Bildrechte: dpa

Es ist ein Montagabend im August 2020 als der Angriff beginnt. Die Mitarbeiter des Chemnitzer IT-Dienstleister IBES sind zu dem Zeitpunkt schon zu Hause. Ein Verschlüsselungstrojaner, eine sogenannte Ransomware, hat sich Zugriff auf die Computersysteme verschafft. Am Dienstagmorgen wird die Attacke bemerkt, die betroffenen Systeme sofort isoliert. "Für uns hielt sich der Schaden glücklicherweise in Grenzen", sagt Firmenchef Jens Schwendel rückblickend dem MDR. "Zwei Tage nach dem Angriff konnten unsere Mitarbeiter bereits wieder arbeiten. Alle relevanten Daten und Systeme konnten aus dem Backup wieder hergestellt werden"

Hacker nehmen Mittelständler ins Visier

Der Mittelständler aus Chemnitz mit rund 50 Mitarbeitern war ins Visier von Cyberkriminellen geraten. Ziel eines Angriffs mit Hilfe einer Ransomware ist die Verschlüsselung von Daten, Betroffene können nicht mehr selber darauf zugreifen. In einigen Fällen drohen die Erpresser auch mit der Veröffentlichung interner Daten. In der Regel wird Lösegeld in unterschiedlicher Höhe gefordert, gezahlt werden soll mit Kryptowähung, etwa Bitcoins. Die Kriminellen versprechen im Falle einer Zahlung die Entschlüsselung der Daten – ob sie sich daran halten, ist eine andere Frage.

Bei IBES waren die Hacker durch "menschliche Fahrlässigkeit", wie Schwendel sagt, ins System eingedrungen. Tatsächlich fanden die Chemnitzer auf ihrem Server schließlich eine Datei mit einer Zahlungsforderung. "Nachgekommen sind wir der nicht", sagt Geschäftsführer Schwendel.

Ransomware - Hacker - Schadsoftware
Ransomware ist Schadsoftware, die Computer sperrt und Dateien verschlüsselt. Bildrechte: imago images/Shotshop

Geholfen habe vor allem, dass bei den Chemnitzern die IT-Expertise direkt im Haus saß. So hätte der Angriff schnell beendet werden können und sei letztlich relativ glimpflich ausgegangen. Dennoch: Viele Mitarbeiter mussten ihre Arbeiten für einen Tag unterbrechen. "Gegenüber unseren Kunden sind wir damit sehr offen umgegangen", sagt Schwendel. Die Polizei habe man hingegen nicht hinzugezogen. "Letztlich wollten wir den Angriff schnell vom Tisch bekommen. Dank unserer eigenen Expertise konnte der Vorfall lückenlos aufgeklärt werden."

Polizei bleibt oft außen vor

Schwendel weist damit auf ein Problem hin: Den betroffenen Unternehmen geht es vor allem darum, schnell wieder in den normalen Betrieb übergehen zu können. Die Polizei will vor allem die Täter ermitteln. Dass Beides funktioniert, ist Aufgabe von Beamten wie Henrik Hohenlohe. Er ist Leiter des Cybercrime Competence Center beim Landeskriminalamt (LKA) Sachsen und sagt: "Die Intensität von Angriffen durch Ransomware hat in den vergangenen Jahren zugenommen, mittlerweile stellen sie die größte Bedrohung für kleinere und mittlere Unternehmen dar."

Rund 90 Mitarbeiter kämpfen beim LKA Sachsen gegen Cyberkriminalität, unterstützen örtliche Polizeidienststellen oder direkt betroffene Unternehmen unter anderem beim Thema Ransomware. In allen Bundesländern gibt es spezielle Hotlines für Betroffene, in Sachsen kommen sie beim LKA in Dresden raus.

Das BKA schreibt in einem Lagebild für 2019 zum Thema Cybercrime: "Ransomware ist und bleibt DIE Bedrohung für Unternehmen und öffentliche Einrichtungen." Und weiter heißt es: "Eine Infektion mit Ransomware und eine damit zusammenhängende Verschlüsselung des Systems kann für jede Art von Unternehmen zu massiven und kostenintensiven Geschäfts- bzw. Funktionsunterbrechungen führen." Beim Thema Cybercrime habe Ransomware das höchste Schadenspotenzial. Das BKA warnt vor der Zahlung von Lösegeld und rät zur Zusammenarbeit mit der Polizei.

Doch eben dort liegt das Problem: Denn offenbar haben die allermeisten Unternehmen im Schadensfall kein Interesse daran, sich an die Polizei zu wenden. Das Problem sieht auch Henrik Hohenlohe vom LKA in Dresden. "Deshalb sichern wir den Unternehmen immer höchste Vertraulichkeit zu und achten sehr darauf, durch die Ermittlungen die Wiederaufnahme des Betriebs nicht zu behindern", sagt er.

Die meisten Fälle werden nicht gemeldet

Das Dunkelfeld ist dennoch riesig, deshalb ist völlig unklar, wie viele Ransomware-Betroffene es gibt. Unternehmen bleiben wegen des befürchteten Imageschadens lieber anonym. In einer Umfrage der Deutschen Industrie- und Handelskammer vom Januar 2021 gaben lediglich neun Prozent der kleinen und 21 Prozent der großen Unternehmen an, dass sie IT-Sicherheitsvorfälle auch an die Behörden gemeldet hatten wenn keine explizite gesetzliche Verpflichtung bestand. Die wiederum gilt nur, wenn Daten erbeutet wurden und ein Verstoß gegen die Europäische Datengrundverordnung besteht.

Meldepflichten gelten außerdem für die Bereiche der kritischen Infrastruktur (Kritis) wie Energieversorger, Telekommunikation oder Ernährung. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn dem MDR mitteilte, gab es im Jahr 2020 in Deutschland insgesamt 419 meldepflichtige IT-Sicherheitsvorfälle in den Sektoren der kritischen Infrastruktur. Ransomware-Angriffe werden allerdings auch dort nicht dezidiert aufgeschlüsselt. Die meisten Meldungen gab es mit 134 Vorfällen im Bereich Gesundheit– dort gab es auch die stärkste Steigerung im Vergleich zum Vorjahr –, gefolgt von Informationstechnik und Telekommunikation (75 Vorfälle) sowie Energie (73 Vorfälle).

Im Jahr 2019 waren es noch 252 IT-Sicherheitsvorfälle in allen Kritis-Sektoren, damals gingen beispielsweise auch zwei Meldungen aus dem Bereich Kerntechnische Anlagen ein.

Täter schwer erreichbar

Auch Steffen Panse vom LKA Thüringen sagt, dass es im Bereich Ransomware ein gewaltiges Dunkelfeld gebe. "Viele Unternehmen haben eine falsche Vorstellung von der Arbeit der Polizei", sagt Panse. Die Polizei sei in solchen Fällen um höchste Diskretion bemüht und hindere das Unternehmen nicht am Wiederhochfahren der Systeme.

Ransomware - Hacker - Schadsoftware
Täter zu ermitteln, ist bei Hackerangriffen nicht immer leicht. Bildrechte: imago images/Panthermedia

"Oftmals führen die Spuren ins Ausland", sagt Panse. Doch dann werden die Verfahren komplexer, für die weiteren Ermittlungen muss das Bundeskriminalamt als Zentralstelle für die Internationale Zusammenarbeit eingebunden werden, welches sich wiederum an die Behörden anderer Länder wenden muss. Zur Anzahl der bisher vom LKA Thüringen gefassten Ransomware-Täter möchte sich Panse nicht äußern.

Einen Erfolg verzeichnete das BKA Ende Januar: Damals konnten die Ermittler die Infrastruktur der Schadsoftware "Emotet" zerschlagen, mit deren Hilfe auch Server in Deutschland infiltriert werden konnten. Allerding war "Emotet" keine Ransomware im eigentlichen Sinne, sondern als Schadsoftware lediglich Teil eines solchen Angriffes.

Hilfe von IT-Forensikern

Für die konkreten Ermittlungen holen sich die Ermittler oft externe Hilfe dazu. Etwa von der Firma "Mitteldeutsche Gesellschaft für Informationssicherheit und Datenschutz" (MGID) in Leipzig. Das Unternehmen berät Firmen beim Thema IT-Sicherheit, führt aber auch sogenannte Penetrationstests durch, bei denen ein Cyberangriff auf eine Firma simuliert wird, um mögliche Schwachstellen zu finden und später zu beheben.

Ein weiteres Geschäftsfeld ist die IT-Forensik. "Wir werden oft von Unternehmen oder Behörden beauftragt", sagt Geschäftsleiter Thomas Reiche. Er sagt, dass statistisch gesehen jedes Unternehmen in den kommenden Jahren irgendwann von einem Ransomware-Angriff betroffen sein werde – der Umfang des Schadens variiere allerdings sehr stark. Grundsätzlich sei Vorbeugung wichtig, etwa die Schulung von Mitarbeitern und regelmäßige Backups. Derzeit seien vor allem Lücken bei Exchange-Servern problematisch.

"Die Szene hat sich extrem professionalisiert in den vergangenen Jahren", sagt Reiche. Früher habe es breit gestreute Angriffe gegeben mit den gleichen Lösegeldforderungen an alle. "Heute überlegen sich die Kriminellen genau, wen sie angreifen und welche Lösegeldforderung sie dort stellen können. Meistens sind das Teams mit einer detaillierten Arbeitsteilung. Manche entwickeln die Schadsoftware, andere kümmern sich um die Weiterverwertung der erpressten Kryptowährung." Er sagt aber auch, dass er persönlich noch keinen Fall kenne, wo eine Firma Geld gezahlt habe.

Onlineauftritt im Darknet

Im Darknet unterhalten viele der Cyberkriminellen eigene Internetseiten – eine Mischung aus Repräsentationsplattform und Erpressungswerkzeug. Denn dort werden oftmals erbeutete, interne Unternehmensdaten veröffentlicht – sie dienen den Kriminellen als Druckmittel. Eine dieser international agierenden Hackergruppen ist die Gruppe ">_CLOP^_".

Sie unterhält einen eigenen Onlineauftritt, erreichbar lediglich über den Tor-Browser. Dort wurden Daten von mehreren international agierenden Firmen veröffentlicht, mindestens eine hat auch einen Standort in Sachsen. Die Firma wollte anonym bleiben, teilte dem MDR aber mit, dass ihre Daten zwischenzeitlich komplett verschlüsselt worden seien. Mit Hilfe eines Backups hätten diese aber wieder hergestellt werden können.

Ransomware - Hacker - Schadsoftware
Hinter vielen Cyberangriffen stehen professionell operierende Teams. Bildrechte: imago images/Westend61

Die Clop-Gruppe fordert auf ihrem Onlineauftritt betroffene Firmen auf, Lösegeld zu zahlen und bietet sogar eine Art Unterstützung bei der Entschlüsselung der Daten an. Die Kriminellen geben sich professionell: Krankenhäuser, Waisenhäuser oder Geburtshäuser seien nie attackiert worden, heißt es auf der Webseite im Darknet.

Im September 2020 hatte ein Ransomware-Angriff auf die Uniklinik Düsseldorf für Aufsehen gesorgt: Cyberkriminelle hatten sich mit Hilfe eines Verschlüsselungstrojaners Zugriff auf das IT-System der Klinik verschafft und Daten verschlüsselt – allerdings bei der Entschlüsselung geholfen, als öffentlich bekannt geworden war, dass ein Krankenhaus attackiert worden war.

Auch in Mitteldeutschland gab es in der Vergangenheit spektakuläre Ransomware-Angriffe. So konnten im Sommer 2020 hunderte Angestellte des Halbleiter-Hersteller X-Fab im Erfurter Werk wochenlang nach einer entsprechenden Attacke nicht arbeiten. Betroffen war 2019 auch die Gießerei im nordsächsischen Rackwitz des norwegischen Alu-Konzerns Norsk Hydro.

Beim IT-Dienstleister IBES aus Chemnitz fiel der wirtschaftliche Schaden der Cyberattacke letztlich relativ gering aus, dennoch wird man nach eigenen Angaben auch dort in Zukunft noch besser vorbereitet sein. "Technisch mussten wir nicht viel anpassen, aber das Bewusstsein seitens unserer Mitarbeiter haben wir noch einmal geschärft", sagt Geschäftsführer Schwendel. Betroffen sein könne jedes Unternehmen, wichtig seien eine schnelle Reaktion und eine gute Vorbereitung für den Ernstfall.

Quelle: MDR

Dieses Thema im Programm: MDR FERNSEHEN | MDR um 4 | 04. Mai 2021 | 16:30 Uhr

Mehr aus Wirtschaft

Mehr aus Deutschland