70 Millionen für den Generalschlüssel
In jüngster Zeit häufen sich Fälle, in denen Kriminelle mit Erpresser-Software hohe Summen erbeuten wollen. Sicherheitsbehörden sind alarmiert. Auch weil einige Unternehmen Lösegelder zahlen
Der Cyberangriff auf das US-Unternehmen Kaseya hatte Folgen bis nach Schweden. Bei Coop, das mit Kaseya-Software arbeitet, ging nichts mehr Foto: Jonas Ekstromer/ap
Von Svenja Bergt
Von solchen Zahlen können selbst Bankräuber:innen nur träumen: Umgerechnet 11 Millionen US-Dollar zahlte der weltgrößte Fleischproduzent JBS kürzlich an Angreifer:innen, die seine Systeme mit einer Erpressersoftware lahmgelegt hatten. Die 4 Millionen, die der Pipeline-Betreiber Colonial aufbrachte, wirken dagegen fast überschaubar, das FBI stellte später einen Teil des in Bitcoin gezahlten Geldes sicher. Die Summe, die das Versicherungsunternehmen CNA Financials zahlte, beziffert ein Bloomberg-Bericht sogar auf 40 Millionen US-Dollar. Und die Angreifer:innen, die Anfang Juli den US-amerikanischen IT-Dienstleister Kaseya lahmlegten und damit Unternehmen im mehreren Ländern, darunter eine schwedische Supermarktkette, verlangten, bevor unter noch ungeklärten Umständen ein Generalschlüssel auftauchte, 70 Millionen US-Dollar. Zu zahlen in Digitalwährung, wie auch sonst bei dieser Art von Angriffen.
Bei Attacken mit Ransomware verschaffen sich die Kriminellen Zugang zum IT-System ihres Opfers und verschlüsseln und/oder kopieren die Daten. Dann werden die Betroffenen unter Druck gesetzt. Wenn sie das geforderte Lösegeld nicht zahlen, würden die Daten nicht entschlüsselt, kompromittierende Informationen veröffentlicht oder Kund:innen, Geschäftspartner:innen oder Patient:innen über den Angriff informiert. Diese Strategie ist seit mehreren Jahren erprobt. Was sich aber in jüngster Zeit ändert, ist die Höhe der geforderten und gezahlten Summen – und die Adressaten der Angriffe. Und beides hängt miteinander zusammen.
Der Digitalverband Bitkom kommt in einer am Donnerstag vorgestellten repräsentativen Umfrage unter 1.067 Unternehmen zu dem Schluss: Die Schadenssumme, die der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage entstehe, belaufe sich mittlerweile auf 223 Milliarden Euro im Jahr – doppelt so viel wie noch 2018/19. Haupttreiber des Anstiegs: Systemausfälle als Folge von Ransomware-Attacken. Die dadurch verursachten Schäden hätten sich im Vergleich zu den Jahren 2018/19 vervierfacht. „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, sagte Bitkom-Präsident Achim Berg.
Der Dienstleister Chainalysis beziffert in seinem diesjährigen Report zu dem Thema die im vergangenen Jahr als Folge von Ransomware-Attacken geflossenen Lösegeldsummen auf 370 Millionen US-Dollar. Im Vergleich zum Vorjahr sei das mehr als eine Verdreifachung. Und das sei noch eine konservative Schätzung, so die Analyst:innen, da es sehr wahrscheinlich eine Dunkelziffer gebe. In den Jahren vor 2020 lag die Summe der gezahlten Lösegelder dem Report zufolge stets unter der 100-Millionen-Dollar-Marke. „2020 wird für immer als Jahr von Covid bekannt sein, aber wenn es um Cyberkriminialität geht, ist es auch das Jahr, in dem der Einsatz von Ransomware explodiert ist“, schreiben die Autor:innen. Und auch das Bundesamt für Sicherheit in der Informationtechnik (BSI) stellt in seiner Anlayse vom Mai fest: „Seit 2016 hat sich die Bedrohung verschärft.“ Und: „Die erste und wichtigste Motivation für die Verbreitung von Ransomware ist der finanzielle Gewinn.“
Damit ist auch zu erklären, dass sich die Zielgruppe der Angriffe verändert hat. Noch vor einigen Jahren wurden primär Privatnutzer:innen attackiert. Schwachstellen in Systemen lassen sich hier mit deutlich geringerem Aufwand finden und ausnutzen – doch die Betroffenen können auch weniger zahlen. Mutmaßlich deshalb haben sich die Angreifer:innen daher mittlerweile schwerpunktmäßig auf institutionelle Opfer verlegt. Betroffenen sind dabei Pipeline-Betreiber genauso wie Krankenhäuser, Versicherungen oder die produzierende Industrie.
Anne Neuberger, oberste Cyber-Beauftragten des Nationalen Sicherheitsrats in den USA, schreibt in einem Memo des Weißen Hauses von Anfang Juni „Kein Unternehmen ist sicher davor, mit Ransomware angegriffen zu werden, egal wie groß es ist oder an welchem Ort.“ Und BSI-Präsident Arne Schönbohm sagte anlässlich der Kaseya-Attacke: „Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen.“ Bei erfolgreichen Angriffen würden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden seien daher oft enorm.
Gerade das macht es für Unternehmen attraktiv, die geforderten Lösegelder zu zahlen – obwohl Expert:innen und Behörden, wie etwa das BSI dringend davon abraten. „Wer Lösegeld zahlt, verbessert die Qualität der zukünftigen Angriffe“ sagte der Experte für Internationale Cybersicherheitspolitik bei dem Thinktank Stiftung Neue Verantwortung, Sven Herpig, kürzlich im taz-Interview. Die Einnahmen könnten die Täter:innen investieren, um ihre Angriffsinfrastrukturen zu verbessern. Zudem bietet die Zahlung des Lösegelds keine Garantie, dass der versprochene Entschlüsselungsmechanismus tatsächlich bereitgestellt wird. So ergab eine Studie des Cybersecurity-Anbieters Sophos aus dem vergangenen Jahr, bei der gut ein Viertel der angegriffenen Unternehmen angab, Lösegeld gezahlt zu haben, dass sich die Daten dadurch nicht schneller wieder herstellen ließen als etwa aus einem eigenen Backup. Dafür hätten sich die Kosten, die der Angriff für die Unternehmen verursachte, verdoppelt.
Schaden für die deutsche Wirtschaft: 223 Milliarden Euro im Jahr
Attraktiv machen die Lösegeldzahlung auch Cyberversicherungen, die einspringen. Auf die Versicherer wächst daher der Druck. Als erstes Unternehmen kündigte im Mai Axa an, zumindest in Frankreich keine Cyberversicherungen mehr zu verkaufen, die Lösegeldzahlungen vorsehen. Vorangegangen waren aus der französischen Regierung geäußerte Bedenken.
In Deutschland war beispielsweise der Aromenhersteller Symrise Opfer eines Angriffs geworden. Ende vergangenen Jahres brach die Attacke aus, die Produktion musste teilweise eingestellt werden. Auf Anfrage der taz teilte das Unternehmen mit, kein Lösegeld gezahlt zu haben – ohne dass das negative Konsequenzen gehabt habe. Anderen Unternehmen, die in eine solche Situation kommen, rät Symrise: „Arbeiten Sie nicht mit Kriminellen zusammen und schalten Sie die zuständigen Behörden (LKA) ein.“
Vielleicht scheint die veränderte Bedrohungslage langsam bei den Unternehmen anzukommen. In der am Donnerstag veröffentlichten Bitkom-Umfrage gaben 24 Prozent der befragten Unternehmen an, sie hätten ihre Investitionen in die IT-Sicherheit deutlich aufgestockt, 39 Prozent etwas. Im Vergleich zum gesamten IT-Budget sind die Ausgaben für ein Mehr an Sicherheit laut dem Verband dennoch gering. Durchschnittlich setzten die Unternehmen 7 Prozent ihrer IT-Mittel für Sicherheitsmaßnahmen ein.
