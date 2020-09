Interview von Max Muth

Sherrod DeGrippo verfolgte selbst Cyberkriminelle durchs Netz, heute leitet bei Proofpoint ein Team, das für die Analyse digitaler Bedrohungen zuständig ist. Die börsennotierte IT-Sicherheitsfirma sichert E-Mail-Systeme von Unternehmen ab, damit etwa Phishing-Mails gar nicht erst im Posteingang der Mitarbeiter auftauchen. DeGrippos Spezialgebiete sind "Emotet", jene Schadsoftware, die 2019 zur "gefährlichsten der Welt" erklärt wurde, sowie Banden, die mit sogenannter Ransomware Computer zwangsverschlüsseln und dann deren Besitzer erpressen. Auch über Emotet wird immer wieder Erpressersoftware verteilt, zuletzt war der Fahrdienst des Bundestags betroffen. Emotet ist ein Beispiel für die Professionalisierung der Branche: Verschiedene spezialisierte Gruppen arbeiten zusammen - der eine baut die Werkzeuge, ein anderer öffnet den Tresor, noch ein anderer räumt ihn aus. Für die Behörden und Cyberverteidiger wie DeGrippo wird der Job dadurch schwieriger.

SZ: Frau DeGrippo, immer wieder hört man im IT-Sicherheitsbereich nun Begriffe wie "Malware-as-a-Service" oder "Ransomware-as-a-Service". Was hat es mit der neuen Arbeitsteilung bei Erpressersoftware auf sich?

Ich glaube, dass diese zunehmende Arbeitsteilung in der Cyberkriminalität sich parallel zur Entwicklung bei normalen Unternehmen vollzogen hat. Alles wandert in die Cloud. Der Grund dafür ist die Flexibilität, die sie bietet. Man bezahlt nur für die Rechenleistung für jene Dienste, die man gerade braucht. Außerdem hat über die Cloud jedes Gerät Zugriff auf wichtige Daten.

Und kriminelle Hacker machen es jetzt ähnlich?

Cyberkriminelle sind clever. Sie suchen nach den effizientesten Wegen für ihr Geschäft. Die Möglichkeit, Botnetze zu mieten, gibt es seit vielen Jahren. Der erste bekannte Cybercrime-Service dafür war Distributed Denial of Service (DDoS): Man kauft die Kontrolle über ein paar Tausend Geräte, die dann gleichzeitig eine Webseite mit Datenverkehr fluten und in die Knie zwingen. Am Anfang wurden oft private Webseiten oder politische Gegner angegriffen, dieser Hacker-Aktivismus basierte auf DDoS-Angriffen. Professionelle Cyberkriminelle heben dieses Modell jetzt auf die nächste Stufe. Es gibt ein komplettes Ökosystem von Dienstleistungen, in dem sich die Zutaten für Verbrechen einzeln mieten lassen: Schadsoftware-Programmcode, Infrastruktur oder gleich ganze Service-Pakete. Dann gibt man den Anbietern nur noch ein E-Mail-Liste und sagt: 'Schickt diese Schadsoftware zu diesen Tageszeiten an diese Adressen'.

Wie verfolgen Sie solche Entwicklungen? Recherchieren sie verdeckt in den Banden?

Wir sehen Trends vor allem anhand der Menge an Schadsoftware, die verschickt und von uns aufgehalten wird. Aber in letzter Zeit haben Behörden wie FBI, CIA oder die kanadischen Mounties immer wieder Dokumente zu Ermittlungen gegen Cyberkriminelle öffentlich gemacht, aus denen ziemlich genau hervorgeht, wie diese arbeiten. Auffällig ist, dass sie meist extrem organisiert sind. Sie nutzen dieselbe Software wie ich in meinem legalen Job: Wikipages fürs Wissensmanagement, Jira [eine Anwendung für Projektmanagement, Anm. d. Red.] für die Entwicklung von Schadsoftware. Der Umzug in die Cloud macht es leicht, diese Dienste mit anderen Banden zu teilen.

Das heißt, jeder Mensch könnte sich Ransomware mieten und ein kleines Geschäft starten?

Dass heute irgendwelche jungen Typen aus ihren Schlafzimmern heraus Ransomware-Operationen betreiben, glaube ich nicht. Das gab es vor ein paar Jahren. Da passierte es häufiger, dass eine Gang auftauchte, ein paar Leute erpresste, und dann wieder verschwand. Das waren wohl College-Kids, die sich ein Auto leisten oder ihre Studiengebühren zurückzahlen wollten. Zugang zu den aktuellen großen Malware-Diensten bekommen Sie nur über den Internet-Untergrund wie geschlossene Foren, oft im Darknet. Und natürlich überprüfen die kriminellen Betreiber, ob sie Neulingen trauen können. Das schreckt Privatleute ab.

Banden mieten also Malware von anderen Banden.

Genau. Die Malware-Betreiber nennen die anderen Banden "Kunden" oder "Partner". Wir können das ziemlich gut verfolgen. Beim Versand von Phishing-Mails mit Schadsoftware schicken die Malware-Betreiber eine Identifikationsnummer mit, die Kunden-ID quasi. Daran sehen wir, dass sie das nicht für sich selbst verschicken, sondern eben für einen dieser Kunden. Es ist fast, als würden die ihre Wohnung über AirBnB vermieten. Wir verfolgen diese IDs und sehen dann zum Beispiel, dass die ID "XY" immer Online-Händler angreift oder ID "XYZ" immer besonders viele Mails verschickt.

Das klingt, als wären cyberkriminelle Banden mittlerweile traditionellen Unternehmen ähnlicher als dem analogen organisierten Verbrechen.

Ich glaube, auch die Gruppen selbst sehen sich eher als Unternehmer denn als Verbrecher. In den ehemaligen Sowjetstaaten, wo ein Großteil der Gruppen herkommt, gibt es eine mehr oder minder explizite Abmachung mit den Behörden: Wenn du Ziele außerhalb der Region angreifst, drücken wir ein Auge zu. Wenn du Banking-Trojaner schreibst und die nach Europa oder in die USA schickst, ist uns das egal. Das führt dazu, dass diese Jobs als legitim angesehen werden. "Und, was machst du so?" - "Ich bin Software-Designer, ich schreibe Banking-Trojaner, die wir in den Westen schicken", das ist dort vermutlich ein halbwegs normales Gespräch. Es wird nicht als so richtig kriminell wahrgenommen. Vermutlich arbeitet so jemand nine-to-five in einem Büro, jedenfalls noch vor der Pandemie, verdient Geld, seine Mutter ist stolz auf ihn.

Vor einiger Zeit konnte man im Netz einen Dialog zwischen Erpressern und dem Finanzchef einer erpressten Firma mitlesen. Faszinierend war vor allem, wie höflich das ablief. Am Ende gaben die Erpresser Tipps, wie die Firma ihr Netzwerk künftig absichern sollte.

Die Angreifer haben in den letzten Jahren einiges gelernt. Sie bieten eine Dienstleistung an. Das Allerwichtigste ist: Wenn die Opfer zahlen, müssen sie auch ihre Daten zurückbekommen. Wenn das nicht zuverlässig funktioniert, verdienen die Banden kein Geld, weil niemand mehr zahlt. Sie müssen professionell auftreten, ihren Opfern erklären, wie sie an Bitcoin kommen, um das Lösegeld zu zahlen. Und als Extra-Service erzählen Sie dir am Ende noch, was du besser machen kannst. Das ist mittlerweile üblich, dass die Gangs ein Chatfenster betreiben, an das Opfer sich mit Serviceanfragen wenden können.

Kundenservice wie bei der Krankenkasse. "Geben Sie mir bitte ihre Versichertennummer"?

Ja. In den Erpresserschreiben gibt es eine ID, mit der können die Erpresser auf ihrem Dashboard genau sehen, um welche Firma es geht, um wie viel Geld. Es ist ein bisschen verrückt, aber das macht es auch faszinierend. Manche Gangs fangen an, ihre Webseiten und Logos liebevoll zu gestalten. "Nemty" arbeitet mit Charakteren aus der Comicserie Rick & Morty, "Avaddon" hat einen Zaubererhut im Logo und auf der Startseite erzählen einem Hagrid und Dumbledore, wie man seine Daten zurückbekommt.

Firmendesign für Erpresserbanden. Das klingt absurd.

Die Entwicklung von Ransomware in den letzten Jahren ist auf vielen Ebenen spannend. Vor einigen Jahren verschickten die Macher der Software "Locky" zum Beispiel noch Millionen E-Mails jeden Tag, heute läuft alles deutlich gezielter ab. Wenn die Banden eine Firma gehackt haben, versuchen sie erst einmal herauszufinden, ob Ransomware überhaupt eine gute Idee ist. Sie prüfen, ob sie einzelne Personen mit gestohlenen Infos erpressen, oder nicht lieber einen Banking-Trojaner verteilen. Erst wenn sie irgendwann Zugriff auf das gesamte System haben, wird Ransomware als Methode wieder interessant. Einzelne befallene Computer tauschen IT-Departments heute einfach aus, aber wenn die Erpresser es schaffen, das ganze Unternehmen lahmzulegen, dann sieht die Rechnung anders aus.

Was sind die aktuell gefährlichsten Ransomware-Gangs?

Ich kann live nachsehen, was gerade so verschickt wird. Heute ist Montag, das ist ein ruhiger Tag, Dienstag, Mittwoch, Donnerstag ist viel, Freitag weniger.

Es gibt normale Arbeitswochen bei den Erpressern?

Ja, als Cyberkrimineller verschicken Sie Ihre Mails, wenn die Leute an ihrem Rechner sind. Wenn in den USA ein Feiertag ist, schicken die Angreifer nichts, und im Sommer ist weniger los. Für uns als Firma ist das praktisch, weil es bedeutet, dass wir wie normale Leute Weihnachten feiern können. "Buran" und "Exorcist" sind Kampagnen, die gerade viel verschicken. Und es gibt diesen neuen Anbieter namens "Decr1pt", mit einem Erpresserbrief auf Russisch, ich bin ziemlich sicher, dass es den nicht lange geben wird. Ich kann sehen, wo die E-Mails verschickt werden, die Ziele sind alle in Moskau und St. Petersburg. Ich glaube, die Russen werden sich diese Betreiber schnell schnappen.

Im Westen passiert das eher selten. Das BSI warnt seit Jahren vor Malware wie Emotet, Ermittlungserfolge gibt es keine. Was können Behörden tun?

Wenn die Behörden nicht nach Russland gehen, um Leute zu verhaften? Wenig. Verhaftungen reduzieren die Menge der verschickten Malware meist nicht. Fallen zwei oder drei Gangs weg, kommen fünf neue.

Sie glauben nicht an die Behörden?

Gegen Ransomware ist die Polizei machtlos. Dafür ist sie nicht ausgerüstet, und es ist einfach zu viel. Die Polizei sollte sich besser um junge Opfer von sexuellem Missbrauch im Netz kümmern. Geht und rettet die Kinder, wir kümmern uns um die Banking-Trojaner.