Hacker wittern den 70-Millionen-Dollar-Jackpot

Die Hacker, die am Wochenende hunderte Unternehmen mit Erpressungssoftware angegriffen haben, machen sich Hoffnungen auf eine fette Beute. Die Gruppe REvil verlangt 70 Millionen US-Dollar in der Digitalwährung Bitcoin für einen Generalschlüssel zu allen betroffenen Computern.

Die Hacker behaupten, ihre Software habe mehr als eine Million Computer infiziert. Wenn das stimmt, wäre es die bisher größte Lösegeld-Attacke, betonte Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure.

Domino-Effekt führte zu starker Verbreitung

Das Ausmaß ist jedoch noch unklar. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien.

Das Besondere an diesem Angriff: Die Schadsoftware wurde als Update des IT-Dienstleisters Kaseya nicht nur an dessen Kunden verteilt, sondern auch weiter über andere IT-Dienstleister, so dass eine Art Domino-Effekt entstand. So wurde auch die schwedische Supermarkt-Kette Coop getroffen. Von den gut 800 Läden waren am Wochenende zeitweise nur fünf geöffnet, weil die Kassensysteme nicht funktionierten.

Die Händler sind jetzt besonders nervös

In der Region waren bis Montagabend keine Fälle bekannt, weder in den einschlägigen Netzwerken, noch beim Neckarsulmer IT-Dienstleister Bechtle. Auf dessen Notfall-Hotline hätten sich bislang noch keine betroffenen Kunden gemeldet, sagt Christian Grusemann, der bei Bechtle das Competence Center Security leitet.

"Doch unsere 250 Mitarbeiter in dieser IT-Sicherheit sind jetzt doch sehr beschäftigt, weil wir sofort die Anfragen bekommen: ,Wie sind wir aufgestellt? Wie könnten wir jetzt reagieren?"", sagt Grusemann. Der Fall der schwedischen Supermarkt-Kette hat insbesondere den Handel aufgeschreckt. Selbst große Discounter schauen jetzt noch einmal ganz genau hin.

---

---

Ganzheitlich an das Thema herangehen

Ein Patentrezept gebe es nicht, erklärt Grusemann. Drei Elemente seien aber wichtig: Prävention, Detektion und Reaktion. Man sollte sich also im Vorfeld vor Angriffen schützen. Ebenso wichtig sei, einen Angriff zu bemerken, wenn er stattfindet. Und dann müsse auch klar sein, welche Maßnahmen getroffen werden. So sehe eine ganzheitliche Herangehensweise aus.

Gerade was den Schutz im Vorfeld angeht, möchte das Heilbronner Cybersecurity-Unternehmen Cirosec mit einer überkommenen Vorstellung aufräumen. "Der klassische Virenscanner spielt heute keine entscheidende Rolle mehr", sagt Cirosec-Geschäftsführer Stefan Strobel. Denn bei den großen Angriffen der vergangenen Monate und Jahre habe sich gezeigt, dass die Scanner keine bekannten Muster erkennen können, wenn die Schadsoftware neu ist und somit keinem bekannten Muster entspricht.

Ohne Backup ist das Risiko besonders groß

Stattdessen sei es umso wichtiger, die Mitarbeiter für Gefahren zu sensibilisieren, erklärt Strobel, der mehrere Dax-Konzerne zu seinen Kunden zählt. "Wenn wir anschauen, wie die Malware ins Haus kommt, dann sind das üblicherweise Browser und Mail-Programme."

Darüber hinaus gehe es natürlich darum, gerade im Fall der Verschlüsselung ein möglichst aktuelles Backup zu haben. "Es ist zwar etwas platt, aber es gilt schon der Spruch, den man immer wieder hört: Kein Backup, kein Mitleid."

Viele Betroffene bei Hafnium-Angriff Anfang des Jahres

Der REvil-Angriff reiht sich Strobel zufolge ein in eine Reihe von Angriffen im vergangenen Jahr. Mehr als 100 Firmen in der Region seien etwa durch den sogenannten Hafnium Exchange-Server-Hack Anfang des Jahres getroffen gewesen.

"Damals fehlten den Hackern offenbar die Kapazitäten, um die Schwachstellen alle zu nutzen", sagt Strobel. Doch mit jeder Zahlung an solche Hackergruppen würden deren Möglichkeiten wachsen.

---

---

Herkömmliche Herangehensweise funktioniert nicht mehr

Im Wettrüsten mit den Kriminellen seien die Unternehmen dennoch nicht machtlos, gibt Werner Theis zu bedenken. Er ist Gründer und Geschäftsführer der Metzinger Systag GmbH, einem ebenfalls auf Cybersicherheit spezialisierten Dienstleister. "Ein Virenscanner entspricht der Herangehensweise wie in der Pandemie. Wir lernen die Schadsoftware kennen und suchen dann entsprechende Maßnahmen", so der 65-Jährige. Das sei bei 360 000 neuen Viren pro Tag nicht zielführend. "Mit Systemen, die mit Künstlicher Intelligenz arbeiten, kommen wir aber auf Trefferquoten von teils an die 98 Prozent, selbst wenn diese Schadsoftware bislang noch nicht aktiv war."

In Bezug auf die aktuelle Attacke kritisiert Theis, es sei offensichtlich versäumt worden, sich auf solch einen Angriff vorzubereiten. "REvil ist ja bekannt, das war nicht der erste Angriff." Ein Schutz wäre deshalb möglich gewesen, ist er überzeugt.

Theis: Deutschland sollte seine Kräfte bündeln

Leider gebe es am Standort Deutschland, der doch einst führend gewesen sei in der Krypto-Branche, kein führendes Unternehmen für Cybersicherheitssoftware mehr. "Das Thema wurde verpennt", sagt Theis, der sein Unternehmen 1988 gegründet hat. Immerhin seien zuletzt wieder einige Anstrengungen unternommen worden.

Die Hochschulen hätten das Thema Künstliche Intelligenz entdeckt - auch in Heilbronn, wie Theis betont. Die Politik habe zudem eine gewisse Infrastruktur geschaffen, die allerdings erst zum Tragen komme, wenn ein Angriff stattgefunden hat. "Wir müssen die Aktivitäten jedenfalls viel mehr bündeln."

 

Zweiter großer Angriff von REvil

Die von Experten in Russland verortete Gruppe REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS. Das Unternehmen musste als Folge für mehrere Tage Werke unter anderem in den USA schließen. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen. Eingesetzt wurde dabei sogenannte Ransomware - Erpressungssoftware -, mit der Festplatten verschlüsselt werden. Bei der jüngsten Attacke versprechen die Angreifer in einem Blogeintrag nun die Entschlüsselung der betroffenen Systeme binnen einer Stunde, falls die 70 Millionen US-Dollar bezahlt werden, wie Sicherheitsfirmen berichten.

 

Kommentare öffnen