Cybercrime und Wirtschaftsschutz: Generalschlüssel? 70 Millionen!

Berlin taz | Von solchen Zahlen können selbst Bank­räu­be­r:in­nen nur träumen: Umgerechnet 11 Millionen US-Dollar zahlte der weltgrößte Fleischproduzent JBS kürzlich an Angreifer:innen, die seine Systeme mit einer Erpressersoftware lahmgelegt hatten. Die 4 Millionen, die der Pipeline-Betreiber Colonial aufbrachte, wirken dagegen fast überschaubar, das FBI stellte später einen Teil des in Bitcoin gezahlten Geldes sicher.

Die Summe, die das Versicherungsunternehmen CNA Financials zahlte, beziffert ein Bloomberg-Bericht sogar auf 40 Millionen US-Dollar. Und die Angreifer:innen, die Anfang Juli den US-amerikanischen IT-Dienstleister Kaseya lahmlegten und damit Unternehmen im mehreren Ländern, darunter eine schwedische Supermarktkette, verlangten – bevor unter noch ungeklärten Umständen ein Generalschlüssel auftauchte – 70 Millionen US-Dollar. Zu zahlen in Digitalwährung, wie auch sonst bei dieser Art von Angriffen.

Bei Attacken mit Ransomware verschaffen sich die Kriminellen Zugang zum IT-System ihres Opfers und verschlüsseln und/oder kopieren die Daten. Anschließend werden die Betroffenen unter Druck gesetzt, das geforderte Lösegeld zu zahlen, andernfalls würden die Daten nicht wieder entschlüsselt, kompromittierende Informationen veröffentlicht oder Kund:innen, Ge­schäfts­part­ne­r:in­nen oder Pa­ti­en­t:in­nen über den Angriff informiert. Diese Strategie ist bereits seit mehreren Jahren erprobt. Was sich aber in jüngster Zeit ändert, ist die Höhe der geforderten und gezahlten Summen – und die Adressaten der Angriffe. Und beides hängt miteinander zusammen.

Der Digitalverband Bitkom kommt in einer an diesem Donnerstag vorgestellten repräsentativen Umfrage unter 1.067 Unternehmen zu dem Schluss: Die Schadensumme, die der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage entstehe, belaufe sich mittlerweile auf 223 Milliarden Euro im Jahr – doppelt so viel wie noch 2018/19. Haupttreiber des Anstiegs: Systemausfälle als Folge von Ransomware-Attacken. Die dadurch verursachten Schäden hätten sich im Vergleich zu den Jahren 2018/19 vervierfacht. „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen“, sagte Bitkom-Präsident Achim Berg.

Ransomware-Einsatz explodiert

Der Dienstleister Chainalysis beziffert in seinem diesjährigen Report zu dem Thema die im vergangenen Jahr als Folge von Ransomware-Attacken geflossenen Lösegeld-Summen auf 370 Millionen US-Dollar. Im Vergleich zum Vorjahr sei das mehr als eine Verdreifachung. Und das sei noch eine konservative Schätzung, so die Analyst:innen, da es sehr wahrscheinlich eine Dunkelziffer gebe. In den Jahren vor 2020 lag die Summe der gezahlten Lösegelder dem Report zufolge stets unter der 100-Millionen-Dollar-Marke.

„2020 wird für immer als Jahr von Covid bekannt sein, aber wenn es um Cyberkriminialität geht, ist es auch das Jahr, in dem der Einsatz von Ransomware explodiert ist“, schreiben die Autor:innen. Und auch das Bundesamt für Sicherheit in der Informationtechnik (BSI) stellt in seiner Analyse vom Mai fest: „Seit 2016 hat sich die Bedrohung verschärft.“ Und: „Die erste und wichtigste Motivation für die Verbreitung von Ransomware ist der finanzielle Gewinn.“

Damit ist auch zu erklären, dass sich die Zielgruppe der Angriffe verändert hat. Noch vor einigen Jahren waren primär Pri­vat­nut­ze­r:in­nen Opfer der Attacken. Schwachstellen in Systemen lassen sich hier mit deutlich geringerem Aufwand finden und ausnutzen – doch die Betroffenen können auch weniger zahlen. Mutmaßlich deshalb haben sich die An­grei­fe­r:in­nen daher mittlerweile schwerpunktmäßig auf institutionelle Opfer verlegt. Betroffenen sind dabei Pipeline-Betreiber genauso wie Krankenhäuser, Versicherungen wie die produzierende Industrie.

„Niemand ist sicher“

Anne Neuberger, oberste Cyber-Beauftragte des Nationalen Sicherheitsrats in den USA, schreibt in einem Memo des Weißen Hauses von Anfang Juni: „Kein Unternehmen ist sicher davor, mit Ransomware angegriffen zu werden, egal wie groß es ist oder an welchem Ort.“ Und BSI-Präsident Arne Schönbohm sagte anlässlich der Kaseya-Attacke: „Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Unternehmen und Organisationen einzuschätzen.“ Bei erfolgreichen Angriffen würden Dienstleistungen und Produktion häufig zum Stillstand gebracht. Die Schäden seien daher oft enorm.

Gerade das macht es für Unternehmen attraktiv, die geforderten Lösegelder zu zahlen – obwohl Ex­per­t:in­nen und Behörden, wie etwa das BSI dringend davon abraten. „Wer Lösegeld zahlt, verbessert die Qualität der zukünftigen Angriffe“ sagte der Experte für Internationale Cybersicherheitspolitik bei dem Thinktank Stiftung Neue Verantwortung, Sven Herpig, kürzlich im taz-Interview. Die Einnahmen könnten die Tä­te­r:in­nen investieren, um ihre Angriffsinfrastrukturen zu verbessern.

Zudem bietet die Zahlung des Lösegelds keine Garantie, dass der versprochene Entschlüsselungsmechanismus tatsächlich bereitgestellt wird. So ergab eine Studie des Cybersecurity-Anbieters Sophos aus dem vergangenen Jahr, bei der gut ein Viertel der angegriffenen Unternehmen angab, Lösegeld gezahlt zu haben, dass sich die Daten dadurch nicht schneller wieder herstellen ließen, als etwa aus einem eigenen Backup. Dafür hätten sich die Kosten, die der Angriff für die Unternehmen verursachte, verdoppelt.

Druck auf Versicherer wächst

Attraktiv machen die Lösegeldzahlung auch Cyberversicherungen, die in solchen Fällen einspringen. Auf die Versicherer wächst daher der Druck. Als erstes Unternehmen kündigte im Mai Axa an, zumindest in Frankreich keine Cyberversicherungen mehr zu verkaufen, die Lösegeld-Zahlungen vorsehen. Vorangegangen war demzufolge aus der französischen Regierung geäußerte Bedenken.

In Deutschland war beispielsweise der Aromenhersteller Symrise Opfer eines Angriffs geworden. Ende vergangenen Jahres brach die Attacke aus, die Produktion musste teilweise eingestellt werden. Auf Anfrage der taz teilte das Unternehmen mit, kein Lösegeld gezahlt zu haben – ohne, dass das negative Konsequenzen gehabt habe. Anderen Unternehmen, die in eine solche Situation kommen, rät Symrise: „Arbeiten Sie nicht mit Kriminellen zusammen und schalten Sie die zuständigen Behörden (LKA) ein.“

Vielleicht scheint die veränderte Bedrohungslage langsam bei den Unternehmen anzukommen. In der am Donnerstag veröffentlichten Bitkom-Umfrage gaben 24 Prozent der befragten Unternehmen an, sie hätten ihre Investitionen in die IT-Sicherheit deutlich aufgestockt, 39 Prozent etwas. Im Vergleich zum gesamten IT-Budget sind die Ausgaben für ein Mehr an Sicherheit laut dem Verband dennoch gering. Durchschnittlich setzten die Unternehmen 7 Prozent ihrer IT-Mittel für Sicherheitsmaßnahmen ein.