#Ein neuer Cyberkrieg bedroht den Westen

Vor kurzem noch redeten alle über Cyberangriffe von Geheimdiensten. Russische Hacker bohrten sich in die Systeme des Bundestages hinein, ließen in der Ukraine die Lichter ausgehen und sabotierten die Eröffnungszeremonie der Olympischen Spiele. Nordkoreaner klauten eingepfercht in Großraumbüros Millionen Dollar und legten Zuganzeigen auf der ganzen Welt lahm. Die Fachleute waren sich einig: Wenn Staaten in den Cyberkrieg ziehen, dann wird es gefährlich. Das stimmt zwar noch immer, doch in den vergangenen Monaten ist etwas dazugekommen.

Angriffe in noch nie dagewesener Intensität haben den Westen erschüttert, in Deutschland traf es Krankenhäuser und Universitäten, in Amerika ein Unternehmen für Ölpipelines, und zwar so hart, dass an der Ostküste zeitweise das Benzin auszugehen drohte. Hinter diesen Attacken standen aber keine staatlichen Hacker, sondern gewöhnliche Kriminelle. Es geht ihnen nicht darum, jemanden auszuspionieren oder Muskeln zu zeigen im Wettkampf der Großmächte, sondern einzig und allein ums Geld.

Angriffe haben eine politische Dimension

Dennoch haben ihre Angriffe eine politische Dimension: Sie bedrohen schon allein durch ihr Ausmaß die kritische Infrastruktur von Nationalstaaten, die Öl-, Strom- und medizinische Versorgung. Und es fällt auf, dass die meisten kriminellen Hackergruppen in Russland sitzen und dass das Land selbst bislang auf wundersame Weise von solchen Angriffen verschont geblieben ist. Russische Kriminelle greifen also vor allem Ziele außerhalb Russlands an. Kann das Zufall sein, oder duldet, ja unterstützt der Staat solche Attacken?

Das Geschäftsmodell der Hacker wirkt auf den ersten Blick banal: Sie suchen einen Zugang zu einem Unternehmensnetzwerk und laden alle Daten von Wert herunter: technische Pläne, Kundendaten, Personalakten. Danach verschlüsseln sie alles. Auf den Bildschirmen des Opfers tauchen eine Nachricht auf mit der Höhe des zu zahlenden Lösegelds und E-Mail-Adressen für Rückfragen. Zahlt das Opfer, erhält es seine Daten meistens zurück; wenn nicht, werden sie in der Regel veröffentlicht. Aber auch wenn die Hacker seit Jahren ähnlich vorgehen, sind sie sehr geschickt geworden. Es ist, als wären aus plumpen Taschendieben hochintelligente Trickbetrüger geworden.

Charles Carmakal ist Technischer Direktor der amerikanischen Cybersicherheitsfirma FireEye. Als Hacker im Mai die Colonial-Pipelines in Amerika lahmlegten, wurden er und sein Team gerufen, um zu helfen. Am Mittwoch sprach er vor dem Ausschuss für Heimatschutz im Repräsentantenhaus über den Fall. Er beschreibt die Professionalisierung der Ransomware-Hacker in drei Schritten: Noch vor wenigen Jahren luden sich vor allem Einzelkämpfer Schadprogramme aus dem Netz und infizierten damit so viele Unternehmen wie möglich. Ihre Werkzeuge waren noch grob: Sie verschlüsselten wahllos Dateien. Wer sie zurückhaben wollte, musste für den Schlüssel in Bitcoin bezahlen, meistens zwischen 500 und 1000 Euro.

Das brachte nur oft nichts. In den seltensten Fällen gab es überhaupt einen Schlüssel, um die Dateien wiederherzustellen, oder die Kriminellen machten sich für das Geld gar nicht erst die Mühe, ihn auszuhändigen.

Dann fingen Hackergruppen an, das Geschäft zu übernehmen, das war der zweite Schritt. Es gab welche, die Daten verschlüsselten, und solche, die Daten aus Firmen absaugten, um sie zu erpressen. Die Hacker suchten sich ihre Opfer gezielt aus. Das geforderte Lösegeld lag zwischen 50 .000 bis 250. 000 Dollar.