Hackerangriffe nehmen weltweit zu: Unsichtbarer Krieg in den Servern

Pipelines und Krankenhäuser: Cyberangriffe treffen oft sensible Ziele – und die Zahl der Fälle steigt, vor allem wegen der Sicherheitslücken.

Digitaler Angriff, analoge Auswirkungen: Tank­stellen-Kund:innen nach Hack auf US-Pipeline Colonial Foto: Travis Dove/NYT/Redux/laif

Die Zahl der Cyberangriffe ist in den letzten Jahren stetig angestiegen. Allein in den vergangenen Monaten war das Thema allgegenwärtig: Es gab Benzinengpässe nach Hackerattacken im Norden der USA auf die größte US-Pipeline Colonial, der weltgrößte Fleischkonzern JBS wurde lahmgelegt, und die Coronapandemie eröffnet neue Ziele für Hacker.

2020 stieg die Zahl der Angriffe in Deutschland um 7,9 Prozent auf 108.500 registrierte Fälle. Laut BKA nahm die Bedrohung auch qualitativ zu, weil die Digitalisierung voranschreitet und „Täter aus der globalen Cybercrime-Industrie immer profes­sio­neller werden“. Hauptziele seien Unternehmen und öffentliche Einrichtungen, da hier die höchsten kriminellen Gewinne zu erzielen seien. Die größte Bedrohung stellten laut BKA nach wie vor Angriffe mit sogenannter Ransomware dar. Mit dieser Software war auch die erwähnte Pipeline Colonial Anfang Mai angegriffen worden.

Bei einer Ransomware-Attacke dringen die Hacker durch Sicherheitslücken in die IT-Systeme von Unternehmen ein und verschlüsseln wichtige Daten. Für die Herausgabe des Schlüssels verlangen sie ein Lösegeld, das in der Regel in der Kryptowährung Bitcoin zu entrichten ist. Oftmals drohen die Täter auch mit der Veröffentlichung sensibler Daten.

Die Pipeline verbindet hauptsächlich an der Küste am Golf von Mexiko liegende Raffinerien mit dem Süden und Osten der USA. Transportiert werden unter anderem Benzin, Dieselkraftstoff und Heizöl, pro Tag 2,5 Millionen Barrel (rund 397 Millionen Liter). Das Unternehmen transportiere etwa 45 Prozent aller an der Ostküste verbrauchten Kraftstoffe und beliefert mehr als 50 Millionen Amerikaner.

Immer mehr Menschen begannen, Treibstoff zu horten, an den Tankstellen spielten sich turbulente Szenen ab, und der Preis stieg um 4 Prozent auf ein Dreijahreshoch von 2,217 Dollar je Gallone (rund 3,8 Liter). Die US-Regierung hatte nach dem Hackerangriff einen regionalen Notstand ausgerufen.

Darkside im Darknet

Aus Verunsicherung bezahlte das Unternehmen das geforderte Lösegeld von 3,6 Millionen Euro. Colinia-Chef Joseph Blount räumte damit erstmals öffentlich eine millionenschwere Lösegeldzahlung ein. „Es ist mir nicht leichtgefallen“, sagte er dem Wall Street Journal. „Ich weiß, dass es eine hochkontroverse Entscheidung war.“ Auch der Fleischkonzern JBS entschied sich für eine Zahlung, umgerechnet 11 Millionen Dollar in Bitcoins. Um eine weitere Störung zu verhindern und den reibungslosen Betrieb der betroffenen Standorte wiederherstellen zu können, hätten sie sich für eine Zahlung entschieden, erklärte das in Dallas ansässige Unternehmen.

Schon kurz nach ihren ersten Ermittlungen vermuteten die FBI-Er­mitt­le­r:in­nen, dass sich hinter den Angriffen eine Hackergruppe versteckt. Kurz darauf bekannte sich Darkside zu den Angriffen. Die Hackergruppe hat eine eigene Webseite im sogenannten Darknet, das nur mit speziellen Internetbrowsern zu erreichen ist und in dem Hosts und Nutzer von Webseiten nur sehr schwer ausfindig zu machen sind.

Auf seiner Webseite bekennt sich Darkside zu mehreren Anschlägen, belegen lassen sich nicht alle: Viele Unternehmen schweigen über einen vergangenen Hackerangriff, um die Debatte über gezahltes Lösegeld zu umgehen und keinen Imageschaden zu riskieren.

Darkside mit Sitz in Russland, wie von US-amerikanischen Behörden mittlerweile vermutet, erpresst nicht nur selbst, sondern leitet auch andere Kriminelle dazu an. Dazu bieten sie ein Paket namens „Darkside 2.0“ an, das Daten enorm schnell verschlüsselt. Zudem gibt es eine eigene „Hotline“, unter der sie die potenziellen Opfer ihrer Kun­d:in­nen auf ihre wirtschaftliche Leistungsfähigkeit überprüfen, um die Erpressungssumme anzupassen.

Die Hackergruppe zieht zuvor eine genaue Bilanz: Wie viel Druck kann ein Hackerangriff auslösen, und wie viel Geld kann verlangt werden, damit es eine realistische Chance gibt, dass das Unternehmen schnell zahlt. Zudem verfügt die Hackergruppe über ein digitales „Pressezentrum“, in dem Mitteilungen über aktuelle Opfer veröffentlicht werden.

Digitale Robin Hoods

Die Gruppe sieht sich selbst nicht als kriminell und bescheinigt sich einen eigenen Kodex, als moderne Variante von Robin Hood: Ihre schädliche Software darf etwa nicht gegen Krankenhäuser, Schulen, Hospize, Regierungsbehörden oder gemeinnützige Organisationen verwendet werden.

Außerdem will Darkside das Lösegeld in Teilen an gemeinnützige Organisationen spenden. Allerdings wurden solche Spendenangebote bisher immer abgelehnt. In einem Statement zur Attacke auf Colonial Pipeline distanzierte sich die Gruppe auch von einem politischen Hintergrund: „Wir sind unpolitisch, wir beteiligen uns nicht an Geopolitik“, heißt es.

Niemand müsse nach einem Staat suchen, mit dem sich die Gruppe zusammengetan habe, um ihre Motivation herauszufinden. „Unser Ziel ist es, Geld zu machen, und nicht, der Gesellschaft Probleme zu bereiten.“

Die Konsequenzen des Anschlags auf die Pipeline wären ihnen zuvor nicht bewusst gewesen. Um solche Fehler in Zukunft zu vermeiden, will die Gruppe nun eine „Moderation“ einführen und jede Firma überprüfen, die von ihren Partnern gehackt und erpresst werden soll, „um soziale Konsequenzen in Zukunft zu vermeiden“. Das Geld wollten sie aber nicht zurückgeben. Anfang Juni gelang es den US-Behörden allerdings, den Großteil einer Lösegeldzahlung aufzuspüren. Die FBI-Ermittler:innen konnten einen sogenannten Wallet, ein Bitcoin-Profil, der Tä­te­r:in­nen identifizieren und somit etwa 2,3 Millionen US-Dollar sicherstellen.

Auch in Deutschland gab es schon Tä­te­r:in­nen mit einem „Gewissen“. Nach einer Attacke auf das Computersystem der Düsseldorfer Uniklinik konnte dort die Notaufnahme nicht mehr richtig arbeiten. Daten mussten mit Stift und Papier oder per USB-Stick übergeben werden. 13 Tage lang fiel ausgerechnet dieses wichtige Krankenhaus für die Notfallversorgung aus. Es gab ein Erpresserschreiben, das jedoch an die Universität Düsseldorf und nicht an die Klinik gerichtet war.

Als die Polizei mit den Hackern Kontakt aufnahm und ihnen sagte, dass sie ein Krankenhaus getroffen hätten, gaben sie den Entschlüsselungscode für die Rechner kostenlos heraus. Während einer anhaltenden Pandemie sind solche Anschläge, trotz nicht bezahltem Lösegeld, beunruhigend. Die Arbeit im Homeoffice oder auch Homeschooling kommen als potenzielle Sicherheitslücken hinzu.

Im Auftrag eines Geheimdienstes?

Seit Sommer 2020 wurden laut BKA vermehrt Angriffe auf Unternehmen und öffentliche Einrichtungen regis­triert, die bei der Bekämpfung der Coronapandemie relevant sind. So waren Corona-Impfportale für eine Online­termin­buchung betroffen. Im Dezember 2020 wurde die Europäische Arzneimittelagentur EMA mit Sitz in Amsterdam von Hackern angegriffen. Über den Computer eines EMA-Mitarbeiters, der zu diesem Zeitpunkt im Home­office arbeitete, hatten sich die Hacker Zugriff verschafft. Dabei wurde auf Dokumente im Zusammenhang mit dem Zulassungsantrag für den Corona-Impfstoff von Biontech und Pfizer zugegriffen.

Die EMA hatte den Angriff gemeldet, daraufhin seien „umgehend umfassende Untersuchungen eingeleitet worden“. Details sind bis heute nicht öffentlich. Zwei Wochen nach dem Angriff teilten die niederländischen Sicherheitsbehörden mit, sie gingen davon aus, dass es sich bei den Angreifern um staatliche Akteure handelte; Hacker im Auftrag eines ausländischen Geheimdienstes oder Militärs. Die Vorgehensweise und die eingesetzte Schadsoftware ließen darauf schließen. Mehr ist bis heute nicht öffentlich.

Laut Polizeistatistik wurde von den 2020 erfassten 108.500 Cybercrime-Fällen etwas weniger als jeder dritte aufgeklärt. Die Aufklärungsquote blieb damit etwa auf dem Niveau des Vorjahrs. Die Fälle allerdings steigen stetig. Dabei erfasst die Statistik nur die der Polizei bekannten Fälle, die Dunkelziffer ist höher. Viele Firmen rüsten auf, versuchen sich zu schützen, vergrößern ihre IT-Abteilungen, rüsten mit Back-up-Servern nach. Doch die Lücken sind immer noch groß, vielen Unternehmen mangelt es an Geld für solche Investitionen. Gleichzeitig müssen die Systeme ständig aktualisiert werden, um auf dem neuesten Stand zu sein.

Das Problem wird größer, solange Ha­cke­r:in­nen der Digitalisierung einen Schritt voraus sind. Die meisten Firmen und Institutionen sind nicht bereit, in Schutz zu investieren. Auch auf politischer Ebene läuft es schleppend. Obwohl die Schadensumme von Cyberangriffen über 100 Milliarden Euro pro Jahr beträgt. Das größte Problem: unübersichtliche Behördenstrukturen.

Über 100 zuständige Behörden gibt es auf europäischer und nationaler Ebene, die deutschen Bundesländer kommen noch dazu. Alle machen „irgendwas mit Cyber“, kaum jemand kommuniziert miteinander. In der Zwischenzeit vernetzt sich die Cybermafia international. Wenn das so weitergeht, werden die Sicherheits- und Wissenslücken irgendwann nicht mehr geschlossen werden können.