#Erpressung in Arbeitsteilung

Die Cyberattacke auf die Benzinversorgung der amerikanischen Ostküste wirft ein Schlaglicht auf die ausdifferenzierten Geschäftsmodelle krimineller Hacker, die Probleme der Ermittler und die Durchlässigkeit der IT-Systeme, die wichtige Teile der Infrastruktur nicht nur in den Vereinigten Staaten steuern. Die amerikanische Bundespolizei FBI bestätigte am Montag knapp: „Die DarkSide-Erpressungssoftware ist verantwortlich für die Schädigung des Colonial-Pipeline-Netzwerks.“ DarkSide ist eine Bande, die nach Einschätzung von Ermittlungsbehörden seit August 2020 aktiv ist und von Russland aus operiert.

Angaben der Sicherheitsberaterin des Weißen Hauses Anne Neuberger und Mitteilungen der Gruppe selbst machen Konturen eines arbeitsteiligen Geschäftsmodells deutlich: Die Bande verleiht ihre Dienste an meistbietende Kriminelle und teilt mit ihnen das Lösegeld. Ihre Schadsoftware blockiert das Computersystem und Daten der attackierten Firma und löst die Blockade nach Eingang der erpressten Zahlung wieder auf.

Dieses arbeitsteilige Geschäftsmodell wird nach Angaben von IT-Sicherheitsexperten immer populärer: Eine Gruppe entwickelt die schädliche Software, eine zweite sucht nach schwachen Punkten in IT-Systemen ins Visier genommener Unternehmen und Behörden, um die Software einzuschleusen. Neuberger nannte die Entwicklung besonders beunruhigend.

DarkSide selbst scheint von den Folgen der Attacke überrascht zu sein. Die Bande teilte in einer Stellungnahme mit, sie werde künftig Zurückhaltung üben und jede Firma, die die Partner mit Verschlüsselungssoftware attackieren wollen, überprüfen, um in Zukunft sozial schädliche Folgen zu vermeiden. Sie sei einzig und allein auf Geld aus, beteuerte die Bande. Sie behauptet, seit August vergangenen Jahres in die Netzwerke von mehr als 80 Unternehmen eingedrungen zu sein. DarkSide droht damit, Daten von Opfern, die die Zahlung verweigern, auf „Leaks“- Seiten im Internet publik zu machen und Insiderinformationen von börsennotierten Unternehmen zu verkaufen.

Keine Auskunft, ob Lösegeld gezahlt wurde

Das FBI empfiehlt den Unternehmen in der Regel, Lösegeldzahlungen zu verweigern. Sicherheitsberaterin Neuberger räumte aber in einer Pressekonferenz ein, dass Unternehmen oft in einer schwierigen Lage seien, wenn sie keine Alternative hätten, Zugriff auf ihre Daten zu bekommen. Die attackierte Pipelinefirma wollte Fragen, ob sie Lösegeld gezahlt hat, nicht kommentieren. Sie will nach eigenen Angaben das Pipelinesystem bis zum Wochenende wieder öffnen.

Neuberger machte auch auf einen weiteren Trend aufmerksam. Demzufolge attackieren die Hacker zunehmend Unternehmen, die Cybersecurity-Versicherungen haben und über große Finanzmittel verfügen. Die steigende Zahl der Ransomware-Angriffe sorgt bereits für erhebliche Verwerfungen im jungen Markt für Cyberversicherungen. Die Policen werden Jahr für Jahr immer teurer. Nach Erhebungen des Industrieversicherungsmaklers Marsh sind die Prämien für Cyberpolicen im vergangenen Jahr um durchschnittlich 30 bis 40 Prozent gestiegen. Die Folge: Etliche Unternehmen können oder wollen sich den Schutz vor Cyberrisiken nicht mehr leisten.

Die Versicherer begründen ihre Prämienerhöhungen einerseits damit, dass das Risiko einer Cyberattacke für sie schlecht kalkulierbar sei. Andererseits verweisen sie darauf, dass die Schadenzahlen in dem noch jungen Geschäft dramatisch steigen. Erste Versicherungen ziehen sich aus dem Geschäft zurück, Munich Re spricht von steigenden Fallzahlen, steigenden Prämien und steigenden Marktkapazitäten.

Ein neuer Trend könnte die Bedrohung noch verstärken: Sicherheitsexperte Jon DiMaggio registriert den zunehmenden Einsatz von automatisierten Attacken. Die Banden verwendeten Zeit und Geld, um ihre Angriffszeiten zu verkürzen und Software durch Programme zu ergänzen, die automatisch Schlupflöcher suchten. Attacken, die früher Wochen beanspruchten, dauern nun wenige Stunden, sagt DiMaggio. Die Folge seien mehr Angriffe.

Weil die Hacker sich in der Regel in Kryptowährungen auszahlen lassen, werden die ohnehin schwierigen Ermittlungen zusätzlich erschwert. Bei Kryptowährungs-Transaktionen sind keine Banken zwischengeschaltet. Finanzministerin Janet Yellen hatte kürzlich angekündigt, in Zusammenarbeit mit anderen Behörden die Währungen stärker zu regulieren, um ihre Verwendung durch Kriminelle zu erschweren. Diese Bestrebungen bekommen durch die jüngsten Angriffe neuen Rückenwind.

Viele Hacker wie auch DarkSide operieren nach Geheimdiensterkenntnissen von Russland aus. Hinweise, dass sie von russischen Spionagediensten koordiniert würden, liegen nach Angaben aus dem Weißen Haus nicht vor. Die amerikanische Regierung hält Russland allerdings vor, die Umtriebe der Hacker wohlwollend zu tolerieren. Das amerikanische Justizministerium hatte im April eine Taskforce eingesetzt, welche die Kooperation zwischen Hackern und Regierungen identifizieren und Empfehlungen formulieren soll. DarkSide hob in seiner Stellungnahme hervor, nicht mit Regierungen zusammenzuarbeiten und keine geostrategischen Ziele zu verfolgen. Zudem versuchte die Bande, sich als Robin Hood des Internets zu stilisieren: Sie greife keine Krankenhäuser oder karitativen Organisationen an und spende einen Teil ihrer Erlöse, schrieb sie.