Ransomware, also Schadprogramme, die klassischerweise den Zugriff auf lokale oder im Netzwerk erreichbare Daten und Systeme – i.d.R. durch Verschlüsselung – unterbindet, ist nach wie vor eines der größten Risiken im Bereich der IT-Sicherheit.[1]
Ransomware-Angriffe als digitale Pandemie
Erst vergangene Woche hat die berüchtigte Ransomware-Gruppe Hive die Elektronikhandelsketten MediaMarkt und Saturn angegriffen und einen weitreichenden Serverausfall sowohl in Deutschland als auch in den Niederlanden verursacht.[2] Über 240 Millionen US-Dollar Lösegeld wurden ursprünglich gefordert, damit die 3.100 Server wieder freigegeben werden.[3] Es kam zu massiven Einschränkungen des normalen Geschäftsbetriebs in den Märkten vor Ort, der Online-Handel war nicht betroffen. Laut MediaMarkt Saturn konnte die Lösegeldsumme auf 50 Millionen Dollar heruntergehandelt werden; Die Hackergruppe Hive ist jedoch dafür bekannt, sog. Double Extortion zu betreiben. Hierbei werden nicht nur Daten der Opfer verschlüsselt, sondern diese zusätzlich auch noch mit der Veröffentlichung der gekaperten Daten erpresst. Im Rahmen der umfassend angelegten Angriffe werden die Systeme insbesondere auch gezielt nach Backup-Dateien durchsucht und diese verschlüsselt.
Kooperation der Ermittlungsbehörden trägt Früchte
Ein Ransomware-Angriff gegen das IT-Managementunternehmen Kaseya Anfang Juli 2021 hatte als Kollateralschaden unzählige weitere Unternehmen beeinträchtigt, die mit Kaseya-Softwarelösungen arbeiteten.[4] Die dafür verantwortliche Hackergruppe REvil weist Berichten zufolge Verbindungen nach Russland auf. Nun wurde seitens der zuständigen US-Behörden bekanntgegeben, dass der mutmaßliche Täter, ein ukrainischer Staatsangehöriger, im Oktober verhaftet worden sein soll und aktuell auf seine Auslieferung durch Polen wartet. Des Weiteren wurden angebliche Ransomware-Erlöse in Höhe von rund 6 Millionen US-Dollar bei einem russischen Staatsangehörigen sichergestellt. Auch Europol konnte einen Erfolg verbuchen: Zwei Personen, die verdächtigt werden, REvil anzugehören und mehrere Tausend Ransomware-Angriffe durchgeführt zu haben, wurden Anfang November in Rumänien verhaftet. Die Strafverfolgungsbehörden – sowohl in den USA als auch international – scheinen zunehmend über eine klare Strategie zu verfügen und diese auch umzusetzen.
Europol zufolge waren 17 Länder in die Aktion eingebunden.[5] Die mehrere Monate andauernden Ermittlungen führten zu insgesamt sieben Festnahmen, es ging um rund 7.000 Angriffe und mehrere Millionen Euro erpresster Lösegelder.
Auch der berüchtigte Trojaner Emotet konnte durch gemeinsame Bemühungen des Bundeskriminalamtes zusammen mit Europol, Eurojust und Strafverfolgungsbehörden aus den Niederlanden, der Ukraine, Frankreich, England und den USA Anfang 2021 entschärft werden.[6] Die Ermittler konnten sich Zugriff auf die Infrastruktur verschaffen und die Schadsoftware so für die Täter unbrauchbar machen.
Fazit
Das Phänomen der digitalen Erpressung durch Verschlüsselung von Daten und/oder die Drohung, erbeutete Informationen publik zu machen, wird uns voraussichtlich auch weiterhin beschäftigen. Dass die Bemühungen, die Verantwortlichen zur Rechenschaft zu ziehen, zunehmend koordiniert und durch internationale Kooperation durchgeführt werden, kann jedoch zumindest dazu beitragen, den Schaden zu begrenzen und den ein oder anderen künftigen Fall zu verhindern. Repressive Maßnahmen vermögen ein umsichtiges präventives IT-Sicherheitsmanagement indes nicht zu ersetzen. Selbst das beste weltweit vernetzte Ermittlerteam kann häufig einen einmal eingetretenen Schaden – besonders, wenn das Lösegeld bereits in Bitcoin übermittelt wurde – nicht wiedergutmachen.
Der Fokus von Unternehmen, Verwaltung und (gerade mit Blick auf Homeoffice und Remote Work) Einzelpersonen muss daher nach wie vor auf dem Verhindern einer Infektion des jeweiligen Systems mit Schadsoftware liegen.
[1] Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Die Lage der IT-Sicherheit in Deutschland 2021, S. 12; vgl. auch Büttel, IT-Sicherheit in Deutschland 2021: „Angespannt bis Kritisch“, For..Net Blog, 28.10.2021.
[2] Vgl. Beuth, MediaMarkt-Erpresser verlangen angeblich 50 Millionen Dollar, Spiegel Online, 09.11.2021.
[3] Tremmel, Ransomware verlangt Millionen Dollar von Media Markt, Golem.de, 09.11.2021, dort auch zum Folgenden.
[4] Vgl. Newman, The Biggest Ransomware Bust Yet Might Actually Make an Impact, Wired.com, 08.11.2021, dort auch zum Folgenden.
[5] Vgl. Kremp, Ermittler fassen mehrere mutmaßliche Cyber-Erpresser, Spiegel Online, 09.11.2021, dort auch zum Folgenden.
[6] Vgl. Infrastruktur der Emotet-Schadsoftware zerschlagen, Pressemitteilung der Generalstaatsanwaltschaft Frankfurt a.M., der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) und des Bundeskriminalamtes vom 27.01.2021, dort auch zum Folgenden.
Sämtliche Links wurden zuletzt am 11.11.2021 abgerufen.