Mehrere unserer Unternehmen mussten sich im vergangenen Jahr mit den Folgen der CyberUNsicherheit auseinandersetzen. Der Virus, der in diesen Fällen in Form so genannter Ransomware zu Tage tritt, steht echten Viren in nichts nach. Nach der Einschleusung infiziert er wesentliche Teile des Netzwerks und verhindert produktives Arbeiten. Die Inkubationszeit ist hier ähnlich geschickt wie beim natürlichen Vorbild: Symptome zeigen sich leider erst, wenn es zu spät ist.

Diese Art von Angriff und digitaler Erpressung mittels Ransomware ist ein Trend, der immer größere Dimensionen annimmt. In der ersten Phase eines solchen Ransomware-Angriffs muss der Angreifer in das System des Unternehmens eindringen können. 2020 hat die Coronapandemie zu einem vermehrten Umstieg auf digitale Arbeitskonzepte geführt und Unternehmen vor neue Herausforderungen gestellt. So mussten in kürzester Zeit Telearbeitstechnologien implementiert oder massiv ausgebaut werden. Die Verbreitung geschäftskritischer Informationen und essenziellen Wissens über mehrere Systeme unter großem Zeitdruck führte zu einer besonders sensiblen Situation, die Cyberkriminellen vielfältige Einfallstore eröffnete.

Typischerweise erfolgt die Infizierung mittels einer E-Mail, die ein Schadprogramm als Anhang hat. Spätestens mit dem Öffnen des Anhangs wird sein unangenehmer Begleiter wie ein Geist aus der Flasche gelassen. Leider erfüllt er nun keine Wünsche, sondern seinen ganz eigenen Zweck. Viele Unternehmen haben darauf bereits reagiert und geben allgemeine Hinweise wie „bitte keine E-Mails von Unbekannten öffnen“.

Dass solche Hinweise jedoch oft ins Leere laufen, zeigt die Praxis: Laut polizeilicher Kriminalstatistik waren 2019 vor allem vermeintliche Initiativbewerbungen mit solchen Anhängen ausgestattet. Die zunehmende Professionalisierung von Cyberkriminellen führt außerdem häufig dazu, dass die Gefahr eben nicht nur von einem Unbekannten ausgeht, sondern immer öfter von scheinbar bekannten E-Mail-Kontakten. Denn inzwischen nutzen Cyber-Betrüger geschickt alle verfügbaren Informationen, um vertraute Absender vorzutäuschen. So kann auch die E-Mail-Adresse des Kollegen, Lieferanten usw. von Kriminellen dafür missbraucht werden, die Schadsoftware ins System zu bringen. Danach folgt dann das klassische Betrugsmuster: Die Zielsysteme werden verschlüsselt, die Inhaber des Systems werden über die Verschlüsselung informiert und erpresst.

Den Geschädigten wird in Aussicht gestellt, dass nach Zahlung eines Lösegeldes die Dateien wieder entschlüsselt werden. Auf den Systemen funktioniert ab dem Zeitpunkt der erfolgten Erpressung in der Regel nichts mehr, maximal die Kontaktdaten der Erpresser werden ausgegeben.

Eine neuere Spielart der Erpressung verschlüsselt nicht nur die Dateien, sondern zieht auch sensible Daten von den Systemen ab. Es werden etwa Kontakt- und Zugangsdaten ausgespäht, Bankverbindungen, Geldtransfers und andere Betriebs- und Geschäftsgeheimnisse gesammelt.

Mit dem Start der Erpressung wird dann nicht nur mit den verschlüsselten Systemen erpresst, sondern auch damit, sensible Informationen zu veröffentlichen. So wird durch den Angriff nicht nur die Produktivität, sondern auch die Reputation der Geschädigten in Frage gestellt.

Um die infizierten Unternehmensbereiche und -prozesse möglichst schnell wieder kontrollieren und zum Laufen zu bringen, geht ein Großteil der Unternehmen den Weg der Lösegeldzahlung, auch wenn das Bundeskriminalamt von Zahlungen abrät: „Hierdurch wird das kriminelle Geschäftsmodell Ransomware weiter gestärkt und es werden weitere Täterkreise zur Nachahmung motiviert. Zudem ist keineswegs sichergestellt, dass verschlüsselte Daten nach einer Zahlung des Lösegeldes tatsächlich wiederhergestellt werden.“

Aktuell hat bei Cyberangriffen das Phänomen Ransomware das höchste Schadenspotenzial aller Cyberangriffe für Unternehmen. Eine Infektion mit Ransomware und eine damit zusammenhängende Verschlüsselung des Systems kann jedes Unternehmen zu massiven und kostenintensiven Geschäfts- bzw. Funktionsunterbrechungen führen. Andere Phänomene der Cyberkriminalität sind DDoS, Malware, APT und Social Engineering.

Veröffentlicht im Mai 2021