bedeckt München

IT-Sicherheit:Der Ransomware-Schrecken des deutschen Mittelstands

Geld her oder Daten weg: Eine Gruppe von Kriminellen erpresst reihenweise deutsche Unternehmen, veröffentlicht sogar deren Daten im Netz. Wer steckt hinter der zerstörerischen Software?

Von Max Muth

Am Dienstag vor Weihnachten bot sich Mitarbeitern der Funke-Mediengruppe auf den Bildschirmen ihrer Computer ein ungewöhnliches Bild. In weißer Schrift auf blauem Hintergrund stand dort auf Englisch: "Ihr Netzwerk wurde gehackt". Es folgte eine Internetadresse für weitere Informationen. Dort fand sich ein digitales Erpresserschreiben. Die Funke-Gruppe war Opfer einer Ransomware-Bande geworden.

Ransomware-Angreifer (von englisch ransom: Lösegeld) dringen in Netzwerke ein, stehlen Daten, dann verschlüsselten sie alles, was sie finden können, mit Software, für die nur sie den Schlüssel haben. Für die Entschlüsselung fordern sie Lösegeld, meist in der Digitalwährung Bitcoin. Um zusätzlichen Druck zu erzeugen, veröffentlichten sie zudem gestohlene Daten.

Wie Funke erging es im Jahr 2020 vielen deutschen Unternehmen. In einer aktuellen Umfrage des IT-Sicherheitsunternehmens Crowdstrike gaben 50 Prozent der weltweit befragten Unternehmen an, einen Ransomware-Angriff erlebt zu haben, in Deutschland liegt die Quote sogar bei rund 60 Prozent. Ransomware-Attacken sind hierzulande wirtschaftliche Normalität. Der Branchenverband Bitkom berechnete den gesamtwirtschaftlichen Schaden durch Cyberkriminalität schon 2019 auf mehr als 100 Milliarden Euro. Ein guter Teil davon dürfte auf Ransomware entfallen. Vorbereitet sind jedoch beileibe nicht alle deutsche Unternehmen, im Gegenteil. Experten vermuten, dass Deutschland vor allem aus zwei Gründen im Fokus der Erpresser liegt. Zum einen stehen viele Unternehmen finanziell gut da, zum anderen ist die Cybersicherheit oft unterdurchschnittlich. Eine fatale Kombination.

Besonders eine Bande von Cyberkriminellen hat im vergangenen Jahr den deutschen Mittelstand beschäftigt, die Clop-Gruppe. Mindestens acht Unternehmen hat sie erfolgreich angegriffen, die Dunkelziffer aber dürfte erheblich höher liegen.

Das Problem

Verantwortlich für den Siegeszug der Erpressersoftware sind vor allem zwei Erfindungen des Internetzeitalters. Die eine ist anonyme Kommunikation über verschlüsselte Kanäle, zum Beispiel im Darknet. Diese macht es Erpressern leicht, mit ihren Opfern Kontakt aufzunehmen, ohne Gefahr zu laufen, entdeckt zu werden. Die zweite und noch mal deutlich wichtigere Erfindung sind digitale Währungen wie Bitcoin. Erst mithilfe solcher Währungen, deren Geldflüsse nicht von Banken verfolgt werden können, fing digitale Erpressung an, sich finanziell zu lohnen.

Wenn Erpresser früher geschnappt wurden, dann oft zum Zeitpunkt der Geldübergabe. Digitale Geldübergaben dagegen sind für die Erpresser nahezu risikolos. Das erpresste Geld wird auf ein anonymes Konto überwiesen. Ermittler können bei Bitcoin zwar zusehen, wo es landet. Doch erst wenn die Coins irgendwann wieder in analoge Währung eingetauscht werden, hat die Polizei eine Chance, die Erpresser zu enttarnen. Weiterentwicklungen des Bitcoin-Ansatzes wie Monero lassen sich noch deutlich schlechter nachverfolgen.

Die Erpresser: Clop oder Fin11

Es ist mittlerweile gar nicht mehr so einfach, den Überblick über die zahlreichen Banden zu behalten, die mit Ransomware ihr Geld verdienen. Ihre Namen sind kryptisch: Avaddon, Maze, Doppelpaymer, Ragnar Locker, Nemty heißen einige der international aktivsten Banden derzeit. In Deutschland scheint eine andere Gruppe die Nase vorn zu haben. Ihre Ransomware haben die Erpresser "Clop" genannt, deshalb heißen sie unter Experten einfach die Clop-Gruppe. Die US-Cybersicherheitsfirma Fire Eye nennt sie Fin11.

Allein im Verlauf des vergangenen Jahres hat Fin11 den halben deutschen Mittelstand angegriffen, in vielen Fällen mit Erfolg. Firmen reden nicht gern über Cyberangriffe, erst recht nicht über erfolgreiche. Dass die Clop-Gruppe viele deutsche Unternehmen zeitweise lahmgelegt hat, diese Behauptung stammt von den Erpressern selbst. Etwa seit der zweiten Hälfte 2019 gibt es unter Banden einen neuen Trend. Viele von ihnen betreiben seither eine rudimentäre Webpräsenz im Darknet, dem anonymen Teil des Internets. Wenn man weiß, wo man suchen muss, findet man dort regelmäßig Mitteilungen der Gruppen, dort veröffentlichen die Angreifer auch Daten der bestohlenen Firmen, wenn sich diese weigern, zu zahlen.

Jeremy Kennelly leitet bei Fire Eye das Team für technische Analysen der finanziell motivierten Hackergruppen. Nur wenige Ransomware-Erpresser bekommen bei Fire Eye ihre eigene Bezeichnung. Die Regel für die Namen ist einfach: "Fin" für "financial" und eine fortlaufende Nummer. Bis vergangenen Herbst gab es nur zehn solche Akteure. Die Clop-Bande ist nun Fin11. Die Gruppe ist für Kennelly aus mehreren Gründen ein Sonderfall. Zum einen ist sie seit vielen Jahren auf mehreren Feldern aktiv, das lukrative Ransomware-Geschäft ist für Fin11 ein vergleichsweise neuer Geschäftszweig.

Jeremy Kennelly

Jeremy Kennelly Analysiert für das IT-Sicherheitsunternehmen Fire Eye die Techniken von finanziell motivierten Hackergruppen: Jeremy Kennelly

(Foto: Fire Eye)

Das zweite Alleinstellungsmerkmal ist die schiere Menge an Angriffen, die die Clop-Gruppe fährt. Das Volumen der verschickten Phishing-Mails, also Mails mit im Anhang versteckter Schadsoftware, ist bei Fin11 deutlich höher als bei den meisten anderen Gruppen. Das liegt auch daran, dass Fin11 keine technischen Sicherheitslücken nutzt. Clops Sicherheitslücke ist der Mensch. Wenn Mitarbeiter die Dokumente im Anhang der Phishing-Mails öffnen, dann fehlt nur noch ein unbedarfter Klick, und die Gruppe ist im System. IT-Fachmann Kennelly sieht die Sache pragmatisch: "Technische Sicherheitslücken sind teuer und begrenzt haltbar, Phishing-Mails reichen auch."

Die Köpfe hinter Clop sitzen Fire Eye zufolge irgendwo in den ehemaligen Sowjetrepubliken, unerreichbar für deutsche Ermittler. Kommunizieren kann man mit ihnen dennoch, per anonymer E-Mail. Wie viel von dem stimmt, was die Erpresser der SZ erzählen, lässt sich kaum nachprüfen. Aufschlussreich ist jedoch die Art der Kommunikation. Es ist, als spräche man mit der Presseabteilung eines Unternehmens: höflich und distanziert. Alles nichts Persönliches, nur "Business". Das ist das Bild, das sie transportieren wollen. Auch das gehört zum Geschäft. Nur wenn die Kriminellen als seriös wahrgenommen werden, vertrauen Unternehmen auch darauf, dass sie ihre Daten durch eine Lösegeldzahlung wiederbekommen.

Das Opfer

Eines der deutschen Unternehmen, die im Jahr 2020 von der Clop-Gruppe attackiert wurden, ist der Maschinenbauer Netzsch, der seine Zentrale im oberfränkischen Selb hat. Netzsch ist typisch für die Opfer von Fin11. 3700 Mitarbeiter weltweit, der Umsatz liegt bei etwa 500 Millionen Euro, dem Unternehmen geht es gut. Dass Netzsch gesprächsbereit war, liegt wohl auch am glimpflichen Verlauf der Erpressung. Unternehmenssprecher Yann Jeschke gibt zu: Das Unternehmen hatte Glück. Der Angriff wurde bemerkt, als die Angreifer begannen, Daten zu verschlüsseln. Das Unternehmen reagierte schnell, pausierte die großenteils virtualisierten Systeme und zog den Internet-Stecker. Der Angriff fand an einem Freitag statt, das letzte Back-up war vom Donnerstag. Es fehlten also nur etwa 20 Stunden an Daten. "Verkraftbar", sagt Jeschke. Dennoch hat das Unternehmen mit der Wiederherstellung und sicheren Neuorganisation der Systeme mehr als zwei Wochen verbracht. Zwei Wochen, in denen die Firma per E-Mail nicht erreichbar war und Aufträge nicht bearbeitet werden konnten.

Auch im Fall von Netzsch haben die Angreifer gestohlene Daten im Darknet veröffentlicht, um die Firma zusätzlich zu erpressen. Das können Firmengeheimnisse sein, pikante E-Mails oder Ausweiskopien von Mitarbeitern. Jeschke sagt, das Unternehmen habe die Daten selbst heruntergeladen und gesichtet. Eine Lösegeldzahlung waren die Daten Netzsch nicht wert.

Die Lösung

Zahlen oder nicht zahlen, das ist die Frage, vor der alle erpressten Unternehmen stehen. Eine klare Antwort gibt es nicht. Ermittler und Behörden raten Unternehmen in den meisten Fällen davon ab, auf die Forderungen der Erpresser einzugehen. Doch ein erfahrener Cyber-Ermittler sagt der SZ, er wisse auch, dass die Entscheidung letztlich eine betriebswirtschaftliche sei. Wenn die Lösegeldzahlung günstiger ist als die Wiederherstellung der Systeme, werden Unternehmen die Zahlung zumindest in Betracht ziehen.

Die Chance, die Kriminellen zu finden und strafrechtlich zu verfolgen, ist in den meisten Fällen gleich null, selbst wenn die Ermittler einen Angriff zurückverfolgen könnten. Viele Köpfe der Banden sitzen in Ländern, die sich bei Rechtshilfeersuchen unkooperativ zeigen. Bis sich das ändert, bleibt Unternehmen nur zu investieren: in aufmerksame Mitarbeiter, IT-Sicherheit und gute Back-ups.

© SZ/ma
Zur SZ-Startseite
Sherrod de Grippo Proofpoint

IT-Sicherheitsexpertin
:"Fallen zwei oder drei Gangs weg, kommen fünf neue"

Sherrod DeGrippo kämpft täglich gegen Erpressersoftware, die immer mehr Schaden anrichtet. Die IT-Sicherheitsexpertin erklärt, warum Cyberkriminelle immer mehr wie Unternehmer arbeiten - und warum die Polizei kaum Chancen hat.

Interview von Max Muth

Lesen Sie mehr zum Thema