#Im Netz der kaltblütigen Erpresser

Tom Burt ahnte Böses. Als der Sicherheitschef von Microsoft im Februar die Attacken auf 400.000 E-Mail-Exchange-Server von Kunden seines Konzerns analysiert hat, sah er in einer ersten Angriffswelle Daten-Spione am Werk. In einer zweiten aber hinterließen Erpresser ihre Spuren. Die hatten spezielle Programme auf die Rechner ihrer Opfer geschleust, sämtliche Daten gekapert, sie verschlüsselt, die IT-Systeme dadurch in Geiselhaft genommen und Lösegelder für deren Freisetzung gefordert.

„Diese zweite Angriffswelle zielt auf Profit, und die Angreifer sind Cyberkriminelle, keine staatlichen Akteure“, sagte Burt damals der F.A.Z. Da war die Zahl der Opfer noch klein und die Schäden überschaubar. Doch der Microsoft-Sicherheitschef schlug Alarm. Daraufhin stellten Behörden wie das deutsche BSI und die amerikanische CISA alle Ampeln auf Rot. Acht Wochen später rollt ein Tsunami von Erpressersoftware durch die Welt.

In diesem Jahr werden ersten Schätzungen zufolge so viel digitale Lösegelder gezahlt wie nie zuvor: 20 Milliarden Dollar. Das FBI spricht im Zusammenhang mit sogenannter Ransomware von „perfekten Verbrechen“. Denn niemand ist mehr sicher, treffen kann es jeden. Die Täter verwischen bislang alle Spuren. Behörden tappen im Dunkeln. Und das, obwohl es für die Opfer nicht mehr nur um Daten und Dollar geht, sondern um Leben und Tod.

Die Welle schwappt nach Europa

Denn auf den Angriffslisten der Cyberkriminellen stehen auch Organisationen, die lebenswichtige Infrastrukturen betreiben: Krankenhäuser und Versorgungsunternehmen, Logistiker, Pharmakonzerne und Impfstoffhersteller. Die Hacker arbeiten aus der Deckung des Darknets heraus und fordern Lösegeld in digitalen Währungen wie Bitcoin. Das lässt sie unsichtbar bleiben.

F.A.Z. Frühdenker – Der Newsletter für Deutschland

Werktags um 6.30 Uhr

ANMELDEN

Nachdem Hacker vergangene Woche das IT-System einer der größten Ölpipelines in Amerika gekapert, die 8800 Kilometer lange Leitung zwischen Houston und New York lahmgelegt, die Versorgung von 50 Millionen Menschen zeitweilig beeinträchtigt und ein Lösegeld erpresst hatten, schwappt die Welle mit Erpressersoftware nun verstärkt auch nach Europa. So erwischte es am Freitag die technischen Systeme eines Teils der europäischen Geschäfte des japanischen Industriekonzerns Toshiba und die des staatlichen irischen Gesundheitsdiensts Health Service Executive (HSE).

Der HSE musste sein IT-Datensystem komplett herunterfahren, um sich gegen den Angriff zu schützen. Von diesem IT-Stopp waren auch Krankenhäuser betroffen. In der Nacht zuvor hatte der HSE nach den Worten von Generaldirektor Paul Reid einen „signifikanten“ und „anspruchsvollen“ Angriff mit Erpresser-Schadsoftware festgestellt.

Alle nationalen und lokalen Systeme seien betroffen, hieß es. HSE-Chef Reid versicherte, das Abschalten der Datensysteme habe keine Auswirkungen auf Krankenhausgeräte und die Versorgung von Patienten in den Hospitälern, da diese mit anderen IT-Systemen gesteuert würden. Das Corona-Impfprogramm laufe weiter wie geplant. Allerdings musste am Freitag das Dubliner Rotunda Hospital wegen der IT-Probleme die meisten seiner Patiententermine absagen. Nur Hochschwangere und Notfälle durften noch kommen.

Seit drei Jahren im Visier

Auch andere Krankenhäuser in Irland meldeten Störungen ihrer Abläufe durch die IT-Eingriffe. Bislang ist nicht klar, wer hinter dem Hackerangriff steckt. Auch habe HSE noch keine Aufforderung zur Zahlung eines Lösegelds erhalten, hieß es seitens der Leitung des Gesundheitsdienstes. Das nationale Cybersecurity-Team der irischen Polizei hat sich in den Fall eingeschaltet.

Schon seit drei Jahren stehen vor allem medizinische Einrichtungen und Organisationen im Visier der Cyberkriminellen. Nach Angaben von Interpol schrecken die Angreifer nicht davor zurück, das Leben von Patienten aufs Spiel zu setzen und den reibungslosen Ablauf der Arbeiten in den Einrichtungen zu gefährden, wenn es um die Zahlung von Lösegeld geht. Vladimir Kuskov von der russischen IT-Sicherheitsfirma Kaspersky erklärte, die Erpresser haben nur ein Ziel: Geld. Daher werden nun mehr und mehr die IT-Systeme von Großunternehmen angegriffen.

So sahen sich nach Angaben der IT-Sicherheitsfirma BlackFog seit Anfang des Jahres Unternehmen wie die US-Tochtergesellschaft der französischen Dassault-Gruppe, der britische Immobilienhändler Foxtons, der Ölkonzern Shell oder Kia Motors America schweren Angriffen ausgesetzt. Nun wurde auch Toshiba in Europa das Opfer eines erpresserischen Hackerangriffs. Der japanische Elektronikkonzern teilte am Freitag mit, dass europäische Einheiten der Tochtergesellschaft Toshiba Tec von einer Ransomware-Attacke befallen sei. Die Computersysteme an sich seien nicht betroffen, sagte Masaharu Kamo, Vizepräsident des Konzerns, vor Journalisten.

Die Unternehmen im Konzern verwendeten unterschiedliche IT-Netze. Toshiba Tec verkauft Kopierbüromaschinen und Kassen für den Handel. Es scheine so, als ob die Attacke von einer Hackergruppe namens DarkSide ausgehe, erklärte der Konzern auf Anfrage.

75 Bitcoin Lösegeld

DarkSide steckte nach Angaben des FBI auch hinter dem Angriff auf die amerikanisch Ölpipeline. Die Gruppe soll der Nachrichtenagentur Bloomberg zufolge vom Betreiber der Ölleitung, der Colonial Pipeline Co., 75 Bitcoin (3,75 Millionen Dollar) erhalten haben. Nun macht sich Colonial daran, die wichtigste Benzinpipeline der Ostküste wieder zu öffnen. Weil Menschen Benzin auf Vorrat kauften, gibt es Berichte über Treibstoffknappheit an Tankstellen in Washington.

Weder das Unternehmen noch Sicherheitskreise wollten die Meldung über die Zahlung bislang bestätigen. Die Sicherheitsberaterin des Weißen Hauses, Anne Neuberger, hatte die Möglichkeit einer Zahlung bereits angedeutet und Verständnis für die heikle Lage des Konzerns gezeigt. Die Hacker konnten einem Gerücht zufolge ins System eindringen, weil ein Colonial-Mitarbeiter in einer Phishing-Mail einen Link anklickte, der zu Bildern leicht bekleideter Frauen führen sollte.