Ransomware in Österreich: Wie Ransomware mit Stillstand erpresst

Mit der Digitalisierung und dem Internet der Dinge brechen neue Risiken über die Wirtschaft herein, speziell erpresserische Ransomware grassiert derzeit. Betroffen sind öffentliche Einrichtungen ebenso wie Produktion und Dienstleister. Die Größe des Betriebs scheint kaum eine Rolle mehr zu spielen.

Totalausfall für alle

Von Friedrich List

Im Juni 2021 legte eine Cyberattacke die Molkerei SalzburgMilch über Tage lahm. Bei einem anderen spektakulären Fall erpressten kriminelle Hacker vom weltweit operierenden brasilianischen Fleischkonzern JBS 11 Millionen US-Dollar (umgerechnet etwa 9 Millionen Euro). In beiden Fällen sperrten die Kriminellen die IT-Verantwortlichen der Firmen aus ihren eigenen Computersystemen aus. JBS zahlte die geforderte Summe. Erst nach der Lösegeldzahlung erhielten die Verantwortlichen die Passwörter, um wieder Zugang zur Firmen-IT zu bekommen. Auch SalzburgMilch wurde erpresst. Das Unternehmen brauchte acht Tage, um das Problem zu lösen, konnte aber bereits am ersten Tag nach dem Angriff wieder produzieren. Ob das Unternehmen Zahlungen an die Angreifer leistete, wurde nicht bekannt.

Geld oder Stillstand

Cyberkriminelle attackieren Computersysteme in allen Branchen. Der Agrarbereich bleibt hier nicht verschont. Und: Die Angriffe treffen mittlerweile auch kleine und mittlere Unternehmen. Gleichzeitig geht die Zahl der aufgeklärten Verbrechen in Österreich stark zurück. Laut Statista sank sie von 90,6 % im Jahr 2009 auf 33,4 % im vergangenen Jahr. Dem steht glücklicherweise ein wachsendes Sicherheitsbewusstsein gegenüber. Auch gehen längst nicht alle Unternehmen auf Geldforderungen ein. In einigen Fällen haben die Betroffenen zunächst analog weitergearbeitet und gleichzeitig die betroffenen IT-Systeme neu aufgesetzt.

Anfang September gelang Hackern in Oberösterreich eine besonders spektakuläre Attacke. Über eine IT-Firma bekamen sie Zugriff auf die Computersysteme von 34 weiteren Firmen, allesamt Kunden des IT-Unternehmens. Sie überspielten in die Firmencomputer Ransomware. Das sind spezielle Verschlüsselungsprogramme, die die angegriffenen Computer für ihre Nutzer sperren. Anschließend forderten sie von den betroffenen Unternehmen zwischen zwei und drei Millionen Euro Lösegeld.

ITK-Austria 2021-01.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilagenreihe „IT-Unternehmen in Österreich stellen sich vor“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.

Ein anderer Hackerangriff machte sich eine Sicherheitslücke in der E-Mail-Plattform Microsoft Exchange zunutze. Am 2. März 2021 warnte Microsoft erstmals vor dieser Sicherheitslücke. Aufmerksam wurde das Unternehmen auf die Lücke durch sogenannte Zero-Day-Attacken der chinesischen Hackgruppe Hafnium. Das Einfallstor für Zero-Day-Attacken sind bis dato unbekannte Sicherheitslücken. So bekommen die Kriminellen Zugang zu ganzen Computernetzwerken von Firmen oder Organisationen. Die Lücke in Microsoft Exchange betraf in Österreich rund 1500 Unternehmen und Organisationen. Darunter waren Betriebe aus unterschiedlichen Branchen, einzelne Gemeinden, aber auch Organisationen der kritischen Infrastruktur.

Im Juli traf es den steirischen Textilhersteller Sattler. Ein Cyberangriff legte die gesamte IT-Infrastruktur des Unternehmens lahm. Die Produktion, die Bearbeitung von Aufträgen und die Abwicklung von Lieferungen standen über einen längeren Zeitraum still. Allerdings war die IT von Kunden und Geschäftspartnern nicht betroffen. Zudem war das Unternehmen aus Gössendorf nahe Graz vorbereitet. Die Firmenleitung setzte eine Task Force ein und zog auch externe IT-Forensiker heran, um das Problem zu lösen.

Das Risiko wächst

Die Vorfälle markieren eine Zunahme von Cyberangriffen im Vergleich zu den Vorjahren. Laut dem Allianz-Risk-Barometer für das laufende Jahr rangieren Cyberangriffe weltweit auf dem dritten Platz der wichtigsten Geschäftsrisiken. 2020 lagen sie sogar auf Platz 1. Abgelöst wurden sie nur von der Corona-Pandemie und den mit ihr verbundenen Betriebsunterbrechungen.

Anfang April dieses Jahres veröffentlichte die Unternehmensberatung KPMG ihre Studie „Cyber-Security in Österreich 2021“. Die Rechercheure befragten insgesamt rund 500 österreichische Firmen. Einerseits sind die Unternehmen von Jahr zu Jahr besser auf Attacken aus dem Cyberspace vorbereitet. Ihre Investitionen in die IT-Sicherheit wachsen kontinuierlich. Aber auf der anderen Seite lernen auch die Kriminellen dazu. KPMG fand heraus, dass wegen der wachsenden Komplexität und der Geschwindigkeit digitaler Prozesse sowie der gegenseitigen Abhängigkeit die Wahrscheinlichkeit, Ziel von Cyberkriminellen zu werden, noch nie so groß war wie jetzt. Zentrale Ergebnisse der Umfrage: 60 % der befragten Unternehmen erlebten in den letzten zwölf Monaten eine kybernetische Attacke. 64 % erklärten, die Bedeutung von Cybersecurity habe sich während der Pandemie verändert. Nur 35 % gehen im Falle eines Angriffs an die Öffentlichkeit. 53 % geben an, dass vermutlich von staatlichen Akteuren durchgeführte Angriffe auf sie zugenommen haben. Lediglich 26 % entwickeln sichere Software.

Cybercrime as a Service

Nicht nur in Österreich werden mittlerweile Unternehmen aller Branchen und Größen zum Ziel verbrecherischer Angriffe. In den letzten Jahren schlugen die Cyberkriminellen beispielsweise auch in der Logistikbranche zu. Darunter waren Unternehmen wie die Federal-Express-Tochter TNT Express, das französische Logistikunternehmen Gefco oder die weltweit agierende dänische Maersk-Reederei. Kriminelle Hacker nutzen zum Beispiel die vielen digitalen Vernetzungen und Schnittstellen zwischen Unternehmen, um in deren IT einzudringen. Eine weitere Sicherheitslücke sind veraltete Rechner, die nicht ausreichend geschützt sind und auf denen die Hacker Spyware installieren, um den Rest des Netzwerks auszuspähen und von dort aus weiter vorzudringen.

Derzeit scheint das Einschleusen von Ransomware die häufigste Angriffsform zu sein, also genau die Taktik, welche die Datengangster bei SalzburgMilch oder der Sattlergruppe angewandt haben. Sie legen mit eingeschleuster Verschlüsselungssoftware die IT lahm und fordern dann ein Lösegeld (engl. ransom). Genauso häufig wenden die Angreifer aber auch sogenanntes Social Engineering an. Dabei geben sie sich z. B. telefonisch als Kollegen oder als Mitarbeiter von Lieferanten oder Zulieferern aus, um an vertrauliche Informationen wie Passwörter zu gelangen. Oder sie verschicken gefälschte E-Mails von Vorgesetzten, auf die Firmenmitarbeiter dann nichts ahnend antworten.

Allerdings wirken diese Tricks schon ein bisschen altbacken, zumal sie aus der Frühzeit des Internets und der Hackerkultur stammen. Mittlerweile sind die kriminellen Gruppen selbst arbeitsteilig organisiert und bieten ihre Dienstleistung an wie ein reguläres Unternehmen. Eine Gruppe übernimmt Identifikation und Aufklärung von potenziellen Opfern, andere suchen Lücken in der IT-Sicherheit und wieder andere führen den eigentlichen Angriff aus.

Übers Smartphone in die Firmen-IT

Auch der Handel mit den ausgespähten Schwachstellen im Netz blüht. Ein anderes Geschäftsmodell funktioniert ähnlich dem Prinzip Software as a Service: Entweder mietet man die entsprechende Software für einen Einbruch und führt die Aktion selbst durch oder man bucht gleich das gesamte Paket. Es gibt zudem Hackergruppen, die nicht nur die Verschlüsselungssoftware anbieten, sondern auch ein „Servicecenter“, über das die Kriminellen dann mit ihren Opfern in Kontakt treten können, auf Wunsch auch mit Zahlungsabwicklung.

Die wachsende Vernetzung begünstigt diese Entwicklung. Durch das Internet der Dinge, Big Data und Cloud Computing werden die Grenzen zwischen physischer und digitaler Welt durchlässig und immer schwerer zu kontrollieren. Diesem Trend stehen qualitativ neue Bedrohungen gegenüber. Die Stärken der digitalen Wirtschaft sind oft ihre größten Schwächen.

Denn auch die Cyberkriminellen nutzen die Potenziale der vernetzten Welt: „Aktuell sind 250 Millionen Schadprogramme im Umlauf und täglich kommen 300.000 dazu. Außerdem wird verhältnismäßig wenig in IT-Sicherheit investiert“, sagte Christian Wagner, Fachoffizier IKT-Sicherheit und Cyber Defence im österreichischen Bundesministerium für Landesverteidigung und Sport, anlässlich einer Podiumsdiskussion von Sicherheitsexperten der Plattform Digital Business Trends in Wien. Cyberattacken könnten inzwischen „wie bei Amazon“ online bestellt werden, so Wagner weiter. Nach seiner Einschätzung sind auch mobile Endgeräte immer stärker gefährdet. 98 % der Schadprogramme beträfen Android-Geräte. Im Fokus der Datenkriminellen stünden speziell Unternehmensbereiche mit intensivem Kontakt nach außen – also etwa Personalwesen und Marketing. Von dort kämen sie über Umwege in die firmeninterne IT-Infrastruktur.

Business Continuity Management

Trotz spektakulärer Attacken sind Unternehmen und Institutionen keineswegs schutzlos. Zwar bemängeln Experten den oft nachlässigen Umgang mit Sicherheitsfragen, aber sowohl das Problembewusstsein wie auch die Investitionen wachsen. Die TÜV Austria Group und die TÜV TRUST IT GmbH haben zu den aktuellen Trends in der IT-Security eine zehn Punkte umfassende Stellungnahme verfasst: In zunehmendem Maße strukturieren Firmen ihre Geschäftsprozesse neu und bilden sie elektronisch ab. Damit steigt die Abhängigkeit von digitalen Prozessen immer weiter an. Digitale Vertrauensdienste werden immer wichtiger, damit geschäftliche Vorgänge rechtsverbindlich und sicher abgewickelt werden können. Mitarbeiter müssen geschult werden, damit sie beispielsweise Phishing-E-Mails erkennen, mit denen kriminelle Hacker versuchen, an Passwörter und andere vertrauliche Informationen zu kommen. Zudem sollten Unternehmen auf Notfallpläne und spezielle Business-Continuity-Management-Systeme (BCMS) setzen, auf denen man die im Falle eines Angriffs nötigen Sicherheitsmaßnahmen zusammenfasst.

Überdies schreibt der Gesetzgeber mittlerweile den Einsatz eines Systems zur Angriffserkennung vor, etwa in Form eines SOC (Security Operations Centers). Um die Wirksamkeit ihrer Schutzmaßnahmen zu prüfen, greifen Unternehmen immer mehr auf sogenannte Red Teams zurück. Diese bestehen aus Sicherheitsexperten, die Cyberattacken simulieren und so Schwachstellen aufdecken.

Friedrich-List-square.jpg

Friedrich List ist Journalist und Buch­autor in Hamburg. Seit Anfang des Jahr­hunderts schreibt er über Themen aus Computer­welt und IT, aber auch aus Forschung, Fliegerei und Raum­fahrt, u.a. für Heise-Print- und Online-Publikationen. Für ihn ist SEO genauso interessant wie Alexander Gersts nächster Flug zur Inter­nationalen Raum­station. Außerdem erzählt er auch gerne Geschichten aus seiner Heimatstadt.

Nützliche Links