Deutsche Märkte schließen in 6 Stunden 45 Minuten
  • DAX

    15.649,70
    +94,62 (+0,61%)
     
  • Euro Stoxx 50

    4.141,31
    +23,36 (+0,57%)
     
  • Dow Jones 30

    35.116,40
    +278,24 (+0,80%)
     
  • Gold

    1.815,70
    +1,60 (+0,09%)
     
  • EUR/USD

    1,1854
    -0,0014 (-0,12%)
     
  • BTC-EUR

    31.796,96
    -963,00 (-2,94%)
     
  • CMC Crypto 200

    920,13
    -23,31 (-2,47%)
     
  • Öl (Brent)

    70,54
    -0,02 (-0,03%)
     
  • MDAX

    35.538,20
    +238,80 (+0,68%)
     
  • TecDAX

    3.754,77
    +34,27 (+0,92%)
     
  • SDAX

    16.574,35
    +65,16 (+0,39%)
     
  • Nikkei 225

    27.584,08
    -57,75 (-0,21%)
     
  • FTSE 100

    7.128,39
    +22,67 (+0,32%)
     
  • CAC 40

    6.756,00
    +32,19 (+0,48%)
     
  • Nasdaq Compositive

    14.761,29
    +80,23 (+0,55%)
     

„Das ist ein Nervenspiel": Ein IT-Sicherheitsexperte verrät, wie er mit Hackern verhandelt, die Unternehmen erpressen

·Lesedauer: 6 Min.
Mann vor Bildschirmen bei einer Ransomware-Attacke (Symbolbild)
Mann vor Bildschirmen bei einer Ransomware-Attacke (Symbolbild)

Wenn Christoph Fischer von einem Unternehmen engagiert wird, dann wurde der Katastrophenfall häufig schon ausgerufen. Das Unternehmen wurde von Cyberkriminellen gehackt und die Daten und Systeme verschlüsselt. Ransomware nennt sich das Schadprogramm, weil für die Entschlüsselung ein Lösegeld (englisch: ransom) verlangt wird. Das ist der Moment, an dem der IT-Sicherheitsexperte ins Spiel kommt. Fischer kann dann nur noch versuchen, den Schaden zu begrenzen. Indem er mit den Hackern verhandelt.

Ransomware wird für Unternehmen ein immer größeres Problem. Das zeigt der jüngste Angriff der Hackergruppe „REvil“, die eine Schwachstelle beim amerikanischen IT-Dienstleister „Kaseya“ ausnutzte und hunderte Unternehmen erpresst. 70 Millionen US-Dollar verlangt die Gruppe für den Generalschlüssel, zu zahlen in Bitcoin. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte im Mai dieses Jahres „eine zunehmende Fokussierung auf Unternehmen“ fest. Die Entwicklung sei „von der Erwartung erhöhter Lösegelder getrieben“.

Wir haben mit dem IT-Sicherheitsexperten Christoph Fischer darüber gesprochen, wie er mit Hackern verhandelt. Der 63-Jährige gab uns einen seltenen Einblick in die Welt der Cyberkriminalität.

Viren, Hacker, Betrügereien und Spionage

Fischer sitzt mit seinem Unternehmen BFK in Karlsruhe und bietet ein breites Spektrum an EDV-Sicherheitsberatung. Seit über dreißig Jahren beschäftigt er sich mit „Viren, Hackern, Betrügereien und Spionage“. Ransomware, sagt Fischer, betreffe die Unternehmen seit etwa drei Jahren.

„Mit der Corona-Krise ist die Gefahr durch Ransomware nochmal deutlich gestiegen“, sagt Fischer. Viele Beschäftigte arbeiteten mit ihren privaten Rechnern zu Hause und kämen über eine VPN-Verbindung in ihr Unternehmen. „Das sind meistens ungesicherte Computer, die ohnehin schon unterwandert sein können. Da ist die VPN-Verbindung dann der verlängerte Arm in die Firma.“

In den meisten Fällen, sagt Fischer, dringen die Angreifer aber über E-Mail-Anhänge ein. Es reiche, wenn nur eine Person im Unternehmen auf den Anhang klickt. „Das kann eine Bewerbung an die Personalabteilung sein, mit Anschreiben und Lebenslauf. Die klicken schließlich den ganzen Tag auf solche Schreiben.“

Ist der Täter in das Unternehmen eingedrungen, schaue er sich zunächst um: „Wie groß ist das Unternehmen? Lohnt sich das? Gibt es Back-Ups, die man vernichten kann? Dann ist die Wahrscheinlichkeit größer, dass sie zahlen. Oder kann man Daten klauen und damit drohen, diese im Internet zu veröffentlichen?“

Hacker fordern ein Drittel bis hin zur Hälfte des Kassenbestands

Der eigentliche Verschlüsselungsakt werde meistens am Wochenende oder am Feiertag losgetreten, weil das Unternehmen dann häufig keine Gegenwehr leisten könne. „Die Lösegeldforderung liegt meistens auf dem Rechner. Bei guten Hackern wird sie direkt auf dem Bildschirm angezeigt. Es kommt aber auch vor, dass sie einfach auf allen Druckern im Unternehmen ausgedruckt wird“, sagt Fischer. Die Lösegeldsumme variiere immer. Fischer sagt, er habe das Gefühl, „dass sich die Hacker die Bilanzen der Unternehmen anschauen, und dann etwa ein Drittel bis hin zur Hälfte der liquiden Mittel fordern“.

Fischer habe es schon erlebt, dass er im Unternehmen eintraf und der IT-Administrator bereits Kontakt mit den Tätern aufgenommen hatte. „Der ist stinksauer und beschimpft die Täter wüst. Das ist natürlich nicht hilfreich.“ Man sollte keinesfalls unkoordiniert Kontakt aufnehmen.

Wenn er von Unternehmen beauftragt werde, dann stelle er sicher, dass das Unternehmen Strafanzeige erstattet. Und manchmal nehme er die Polizei auch mit in die Verhandlung. „Die sind sehr gut in den Themen Erpressung oder Entführungen, das sind Krisenberater mit viel Erfahrung, mit denen man die Schritte abstimmen kann.“

„Da braucht man viel Kaffee“

Vor Corona, sagt Fischer, „saßen wir dazu häufig alle gemeinsam in einem Raum“. Eine Verhandlung gehe in der Regel innerhalb weniger Tage über die Bühne. „Man schreibt hin und her. Meistens mit einer halben Stunde bis zwei Stunden Verzögerung, um Rücksprache mit dem Unternehmen und der Polizei zu halten“, sagt Fischer. „Da braucht man viel Kaffee.“

Doch bevor es zur Verhandlung kommt, versuche Fischer festzustellen, wie groß der Schaden ist. „Ich muss wissen: Lohnt es sich, zu bezahlen? Wenn man ein Back-Up hat, kann es günstiger sein, nicht zu zahlen und den Datenverlust nachzuarbeiten. Und ich sollte wissen, welche Daten gestohlen wurden, um das Risiko einer potenziellen Rufschädigung durch das Veröffentlichen im Internet beziffern zu können.“

Natürlich, sagt Fischer, sei es sinnvoll, so wenig wie möglich zahlen. „Aber es gibt Fälle, da hat ein Unternehmen gar nichts mehr. Was sollen die denn sonst machen? Wenn die Täter gründlich arbeiten und alles verschlüsseln, dann müssen die Unternehmen zahlen. Ich kann dann nur versuchen, den Preis zu drücken.“ Das BSI warnt dennoch nachdrücklich, nicht zu zahlen. Jede erfolgreiche Erpressung zeige den Erfolg des Angriffs und motiviere den Angreifer weiterzumachen.

„Das ist ein Nervenspiel“

Kommt es also zur Verhandlung, sei es wichtig, „mit dem Täter nicht aggressiv, aber auch nicht freundlich zu sprechen“. Es brauche einen „klaren und verbindlichen Tonfall“. Fischer sagt, es gebe verschiedene Möglichkeiten, zu verhandeln. „Aktuell kann ich sagen, dass es dem Unternehmen wegen Corona nicht gut geht, es riesige Verluste schreibt und wir nicht die Möglichkeit haben, so viel zu bezahlen.“ Wenn er die Hacker davon überzeugen könne, dass nicht so viel zu holen sei, dann gingen diese mit ihren Forderungen runter. „Das ist ein Nervenspiel“, sagt Fischer.

„Manchmal wähle ich die Verzögerungstaktik und spiele mit den Hackern“, sagt Fischer. Zeit sei für die Hacker ein wichtiger Faktor. „Ich kann mich dumm stellen.“ Einmal habe er testweise einen Decryptor zum Entschlüsseln eines Teils der Daten gekauft und gesagt, er funktioniere nicht. Daraufhin habe der Hacker ihm auch die restlichen Decryptoren „geschenkt und gesagt, ich solle damit machen, was ich will“.

Es sei schwierig, zu sagen, wer genau hinter den Angriffen stecke. Es gebe bei den Verhandlungen ganz unterschiedliche Reaktionen. „Ich versuche immer, etwas Persönliches rauszukitzeln. Ich kann das Wetter ansprechen, oder mein Mittagessen. Aber die meisten sind so professionell und reagieren darauf nicht“, sagt Fischer.

Acht Verhandlungen in diesem Jahr

In diesem Jahr habe er bislang acht Verhandlungen geführt. In zwei Fällen hätten die Unternehmen gezahlt. „Der Rest hat nicht gezahlt, da waren die Forderungen so hoch, dass die Kunden gesagt haben, sie nehmen den Datenverlust in Kauf und arbeiten mit einem alten Datensatz daran, diesen wieder auf den neusten Stand zu bringen.“

Manchmal, wenn man so will, zeigen die Hacker am Ende der Verhandlung und nach Zahlung des Lösegelds immerhin ein bisschen eine freundliche Seite. Manche Täter, sagt Fischer, schickten nach der Zahlung eine Liste mit den Versäumnissen und erklärten, wie sie eingedrungen seien. „Manche schicken auch eine Liste mit Webseiten für Schulungen, welche die Administratoren ihrer Meinung nach machen sollten“, sagt Fischer. „Damit das Unternehmen in Zukunft sauber bleibt.“

Wir möchten einen sicheren und ansprechenden Ort für Nutzer schaffen, an dem sie sich über ihre Interessen und Hobbys austauschen können. Zur Verbesserung der Community-Erfahrung deaktivieren wir vorübergehend das Kommentieren von Artikeln.