In Finnland fürchten Tausende Patienten des Psychotherapie-Unternehmens Vastaamo, dass vertrauliche Gespräche mit ihren Therapeuten und Therapeutinnen online landen könnten. Ein Unbekannter, der sich "ransom_man" nennt, hat ihnen Erpresser-Mails geschickt: Entweder sie bezahlen 200 Euro in digitaler Währung an eine anonyme Bitcoin-Adresse, oder der Hacker veröffentlicht ihre intimsten Gedanken im Netz - eine Horrorvorstellung.
Die gehackte Firma Vastaamo betreibt rund 20 Kliniken im ganzen Land. Dem finnischen IT-Sicherheitsspezialisten Mikko Hyppönen zufolge wurden die Daten bereits im Ende 2018 aus einer internen Datenbank gestohlen. Dann versuchten die Angreifer zunächst, das Unternehmen selbst zu erpressen. 40 Bitcoin wollen sie von Vastaamo, umgerechnet etwa 450 000 Euro. Als Vastaamo nicht zahlt, ändern die Erpresser in der vergangenen Woche ihre Taktik und verschicken rund 40 000 Droh-Mails an alle Patienten. "Das sind keine Hacker, das sind moralisch degenerierte Psychopathen. Diese Menschen haben kein Mitgefühl", sagte Hyppönen der SZ.
Eine Patientin starb, nachdem sie wegen des Angriffs auf die Server der Düsseldorfer Uniklinik in ein weiter entferntes Krankenhaus gebracht werden musste. Die Erpresser ahnten wohl nicht, was sie anrichteten - und zogen sich zurück.
Langsam, aber sicher ist die Gesellschaft beim Thema Cyber-Erpresser in der Dystopie angekommen. Erst kürzlich starb eine Frau in Düsseldorf auf dem Weg in ein weiter entferntes Krankenhaus, dorthin war sie unterwegs, weil eine näher gelegene Notaufnahme mit Ransomware zu kämpfen hatte. Jetzt landen Tausende Patientenakten in den Händen skrupelloser Erpresser.
Einer der vom finnischen Hack Betroffenen ist der IT-Sicherheitsexperte Sami Laiho. Er sei ein Opfer des Hacks, schrieb er für die ganze Welt lesbar auf Twitter. "Ich wollte, dass die Leute sehen, dass so was auch IT-Experten wie mir passieren kann", sagt er via Zoom. Laiho ist schockiert, nicht so sehr wegen seiner eigenen Daten, sondern wegen der wirklich verletzlichen Gruppen. "Ich war ein einziges Mal bei einem Therapiegespräch, wenn der Inhalt rauskommt, was soll's. Aber da sind auch Daten von Kindern und von Leuten, die jahrelang zu Therapien gingen."
Digitale Erpresserbanden zeichnen von sich selbst gern das Bild von Geschäftsleuten, die eher zufällig auf der falschen Seite des Gesetzes stehen. Tatsächlich ähneln sie Unternehmen, ihre Raubzüge sind strukturierter und arbeitsteiliger als die von normalen Einbrecherbanden. Zumeist fließt auch auch deutlich weniger Blut als beim analogen Verbrechen. Eine Sache scheint sich nicht geändert zu haben: Auch Cyberkriminelle sind extrem unsympathische Zeitgenossen.
Firmengeheimnisse landen im Darknet
Am Anfang der Entwicklung von digitaler Erpressung standen innovative Kleinkriminelle, die Privatrechner verschlüsselten und ein paar Hundert Euro Lösegeld wollten, damit sie die Familienfotos wieder freigaben. Bald aber übernahmen Profis das Geschäft. Im Zentrum der Attacken standen nun Firmensysteme. Unternehmen haben mehr finanzielle Mittel als Privatleute, um hohe Lösegelder zu zahlen. Gleichzeitig ist ihr Leidens- und damit Zahlungsdruck höher, wenn die Firma sonst pleitegeht. Im vergangenen Jahr gingen Angreifer dazu über, Daten der Opfer nicht nur zu verschlüsseln, sondern auch zu stehlen. Auf Leak-Seiten im Darknet werden dann private, gerne pikante Daten von CEOs sowie Firmengeheimnisse hochgeladen. Das erhöht den Druck, sollten sich die Unternehmen weigern zu zahlen. Auch vom Vastaamo-Hack wurden bereits einige Patientendaten ins Netz gestellt.
Für den Cybercrime-Experten Jeremy Kennelly von der US-Firma Fireeye kommt diese Entwicklung nicht überraschend. "Die Angreifer wollen nicht höflich sein, sie wollen Geld verdienen", sagt Kennelly via Zoom. Je mehr Druck, desto mehr Geld, gute Manieren schaden da nur.
In Finnland ist nach dem Vastaamo-Hack die Wut groß. Jeder IT-Experte des Landes sei jetzt hinter den Erpressern her, sagt Hyppönen. Zur Wahrheit gehört aber auch, dass es unwahrscheinlich ist, dass der Angreifer je gefunden wird. Die Kombination aus verschlüsselter Internetverbindung und Zahlung in Bitcoin hilft den Kriminellen. Solange sie keinen Fehler machen, ist Cyber-Erpressung ein bombensicheres Geschäftsmodell.
Was mit der betroffenen Firma Vastaamo passiert, ist indes unklar. Dass die Daten wohl nicht ausreichend gesichert waren, ist naheliegend. Am Montag feuerte Vastaamo jedoch auch noch seinen CEO, die Behörden beschlagnahmten Teile seines Privatvermögens. Er hatte offenbar seit über einem Jahr von einem Hack gewusst, und zwar auch schon zu dem Zeitpunkt, als er das gut laufende Unternehmen für viel Geld an Investoren verkaufte.