Wie Cyberkriminelle Unternehmen erpressen und auf Walfang gehen

„Vor 15 Jahren waren Hackerangriffe eine Ein-Mann-Show. Es ging dabei vor allem darum, sich zu profilieren. Jetzt hat sich alles zunehmend professionalisiert. Es ist üblich geworden, Kunden zu melken und Geld aus ihnen herauszupressen. Daraus hat sich eine ganze Ökonomie entwickelt“, sagt Avi Kravitz der futurezone. Der Cybersecurity-Experte war bei der Wirtschaftskammer Wien zu Gast und sprach über „Cybercrime As A Service“ („Cyberkriminalität als Dienstleistung“).

Lösegeld wird bezahlt

Seit knapp 4 Jahren treiben Erpressungstrojaner im großen Stil ihr Unwesen. Das sind Schadprogramme, die den Zugriff auf Daten und Computersysteme einschränken, um im Anschluss Lösegeld von Unternehmen zu erpressen. Privatpersonen sind zwar ebenfalls immer noch betroffen, das große Geld wittern Cyberkriminelle aber durch das Angreifen von Firmen.

Im Jahr 2019 entstand durch Erpressersoftware ein globaler Schaden von rund vier Milliarden US-Dollar, wie eine Recherche von PreciseSecurity.com gezeigt hat. Das liegt daran, dass viele Unternehmen bereit sind, Lösegeld an die Erpresser zu zahlen. „Die Chance, dass man heutzutage einen Schlüssel bekommt, um seine Daten wieder zu bekommen, liegt bei 95 Prozent“, sagt Kravitz: „Deshalb funktioniert diese Methode. Es werden Milliarden auf diesem Wege verdient.“

Gerade weil diese Methode so gut funktioniert, wird sie von Kriminellen weiterentwickelt. „Es ist üblich, dass in Computersysteme in einer Branche eingebrochen werden, um die Prozesse zu verstehen. Danach wird ein Profil erzeugt, mit dem andere Betriebe in der Branche automatisch angegriffen werden“, sagt Kravitz. Das bedeutet, dass Cyberangriffe heutzutage durchaus automatisiert ablaufen, nachdem genug Daten über Abläufe in einer Branche gesammelt worden sind.

Gruppenarbeit

Außerdem gebe es nicht mehr nur einen Kriminellen, der alles alleine mache: Die einzelnen Aufgaben werden gezielt aufgeteilt. „Wir haben einmal für einen Kunden eine Überweisungsbestätigung des Lösegelds wie einen Geldschein markiert, um nachverfolgen zu können, wer sie öffnet. 20 Minuten später hatten wir aufgrund des technischen Fingerabdrucks einen Namen mit Bildern eines Mannes in Dubai. Wenig später hat es ein Mann in Nigeria geöffnet. Das zeigt, dass die Netzwerke über die ganze Welt verstreut sind und das Kriminelle zusammenarbeiten“, sagt der Cybersecurity-Experte.

Auch künstliche Intelligenz spielt zunehmend eine Rolle. „Einer meiner Kunden bekam einen Telefonanruf eines vermeintlichen Finanzchefs einer großen Firma. Eine Software hatte dessen Stimme nachgeahmt und um eine Überweisung gebeten. Das Geld war danach weg“, so Kravitz. Davor seien Mitarbeiter ausgeforscht worden, um herauszufinden, wer vom gefälschten Finanzchef angerufen werden soll.

Whale Phishing

Um in Systeme einzudringen, bedienen sich Cyberkriminelle oft Methoden wie „Whale-Phishing“. Dabei werden gezielt die „dicken Fische“ ausspioniert und angeschrieben. Das sind IT-Administratoren sowie das oberste Management eines Unternehmens. „Diese haben Zugriff auf die sensibelsten Informationen eines Unternehmens“, sagt Kravitz.

Er habe etwa für einen Kunden einmal einen falschen Menüplan für eine Firmenfeier an die Führungsebene eines Unternehmens geschickt. „100 Prozent der Vorstandsebene haben darauf geklickt und sich eingeloggt“, so der Experte. Über die so erhaltenen Nutzernamen und Passwörter hätten Kriminelle problemlos in das Firmennetzwerk eindringen und mit ihrer Spionageaktion anfangen können.

Betriebe sind blind

Ein großes Problem sei laut dem Experten, dass Unternehmen oft keine Wege hätten, Veränderungen in der eigenen IT-Infrastruktur zu messen. „Was ich nicht sehen kann, kann ich nicht messen. 9 von 10 Betriebe sehen nicht, was in ihrem System passiert. Wenn ich das nicht kann, werde ich vielleicht jahrelang kompromittiert und merke es gar nicht“, warnt der Experte. Das sei gerade in einem Land wie Österreich, in dem für Cyberkriminelle sehr viel interessantes Know-How und Wissen vorhanden sei, problematisch. „Man merkt es nicht so leicht, wenn geistiges Eigentum verloren geht.“

Unternehmen empfiehlt der Experte zudem, ihre Zyklen, in denen Updates in Computersysteme eingespielt werden, zu verkürzen. „Die Zeitspanne, in der ein Schadprogramm entwickelt wird, mit der man IT-Sicherheitslücken ausnutzen kann, hat sich auf wenige Tage verkürzt“, warnt der Experte.

Daher seien regelmäßige Updates auch für Firmen essentiell. Dies ist gerade bei großen Unternehmen jedoch oft ein Problem, weil die Updates erst getestet werden müssen, damit damit nicht unabsichtlich das ganze Firmennetzwerk lahmgelegt wird. „Aber auch hier gibt es Abhilfen. Man kann etwa eine Firewall aktivieren, oder mit Whitelists arbeiten.“

ÖVP-Fall untersucht

Kravitz war als „Hacker-Jäger“ bekannt geworden, nachdem er den Cyberangriff bei der ÖVP untersucht hatte. Auf dieses Thema kommt der Experte jedoch äußerst ungern zu sprechen. Der Fall liege noch immer bei der Staatsanwaltschaft, sagt Kravitz. Und: „Ja, es ist ein großes Problem, dass das so lange dauert.“ Insgesamt sei nicht nur bei österreichischen Unternehmen ein besserer Schutz angesagt, sondern auch beim Staat gebe es „Raum für Verbesserungen.“