„Nicht zahlen“ oder „nicht zahlen“ – das ist hier die Antwort!

SagenSieNeinZuRansomware

Beitrag von Raimund Genes, Chief Technology Officer

„Jugendlich, männlich, technikbegeistert, wenig Sozialkontakte und Bedürfnis nach Aufmerksamkeit“: So oder so ähnlich stellen sich noch immer viele den „typischen Cyberkriminellen“ vor. Seit Jahren versuchen wir, diese Vorstellung aus den Köpfen unserer Kunden zu vertreiben – denn sie ist nicht nur falsch, sondern schlichtweg auch gefährlich. „Der“ Cyberkriminelle wird damit nämlich leider sehr verharmlost…

Heutige Cyberkriminelle sind hochprofessionell und nur durch eins motiviert: Geld. Diese noch als „Nerd“ zu verniedlichen, ist in etwa so, als ob man einen Mafiaboss des „Mundraubs“ bezichtigt…

Ein Schweizer Fall aus dem November 2015 zeigte deutlich, dass – obwohl ein Teil der Tat im Cyberspace stattfindet – ein Grossteil „klassisch“ abläuft: In konkreten Fall wurde ein E-Mail-Provider in der Schweiz mittels Distributed-Denial-of-Service Attacken angegriffen. Dieser Teil der Tat, die Drohung, fand also tatsächlich im Cyberspace statt. Im nächsten Schritt wurden dann jedoch Schutzgeldforderungen gestellt. Und obwohl die Bezahlung über Bitcoins stattfinden sollte, ist Schutzgelderpressung doch eher ganz alte Schule…

Nicht verhandeln

Gemäss der eher aus der Politik bekannten Doktrin „Wir verhandeln nicht mit Terrorristen“ bzw. „Wir gehen auf keine Lösegeldforderungen ein“ entschloss sich der Provider gegen die Zahlung. Der darauf folgende DDoS-Angriff richtete sich nicht nur gegen ihn selbst, sondern auch gegen dessen Internet-Service-Provider und dessen Rechenzentrum.

Der Angriff war so massiv, dass auch andere Kunden betroffen waren! Damit erhöhte sich der externe Druck, „einfach zu zahlen“, massiv – und der E-Mail-Provider entschloss sich zähneknirschend, das geforderte Schutzgeld von 15 Bitcoins (etwa 8’000 Franken) zu zahlen. An dieser Stelle könnte die Geschichte jetzt auch wieder vorbei sein – und ausser ein paar Eingeweihten (bzw. Betroffenen) wüsste niemand etwas darüber.

Doch das ist leider nicht der Fall: Selbst nachdem gezahlt wurde, gingen die Angriffe weiter. Auch ist unklar, ob dies nur aus Rache für die späte Zahlung oder schlichtweg als Vorbereitung für die nächste Forderung gedacht ist. Jedoch zeigt es deutlich, wieso eine entsprechende Doktrin befolgt wird.

Der E-Mail Provider hat diesen Angriff inzwischen mit vielen Details öffentlich gemacht und verlautbaren lassen, dass er niemals wieder Lösegeld zahlen werde. Dank der Zusammenarbeit mit MELANI (Schweizer Melde- und Analysestelle Informationssicherung) wurde klar, dass auch andere Firmen Opfer dieser Angriffe waren und diese entweder in verschiedenen Stufen oder sogar von verschiedenen Gruppen ausgeführt werden.

Nicht Nerds, sondern organisierte Kriminalität

Dieses Beispiel zeigt deutlich, dass wir es eben nicht mehr mit jugendlichen „Nerds“ zu tun haben, die ein wenig randalieren wollen. Heutige Cyberkriminelle sind der organisierten Kriminalität zuzuordnen. Dies zeigt sich sowohl in erprobten „Geschäftsmodellen“ (z.B. Schutzgelderpressung), die einfach in den Cyberspace übertragen werden, als auch an den notwendigen Strukturen im Hintergrund.

Nehmen wir als Beispiel das Schutzgeld: Im realen Leben ist die Geldübergabe für den kriminellen die gefährlichste Aktion. Auch sind Strafverfolgungsbehörden seit vielen Jahrzehnten wahre Meister darin, der „Spur des Geldes“ zu folgen, um Verbrecher dingfest zu machen. Daher auch der grosse Bedarf an kreativen Ideen zur Geldwäsche.

In diesem konkreten Fall wurde das Schutzgeld via BitCoins gezahlt. Aber auch Crypto-Währungen sind nicht so anonym, wie viele meinen. Es ist zwar schwer, ein Konto/Wallet einem Benutzer zuzuweisen – aber Inhalte und Transaktionen sind für jeden öffentlich einseh- und nachvollziehbar. Das heisst auch bei Cryptowährungen ist das Geldwaschen integraler Bestandteil des Geschäftsmodells. Und spätestens da befindet man sich wieder im Bereich der klassischen Kriminalität.

Nicht zahlen, sondern melden

Ich persönlich gehe davon aus, dass viele andere Unternehmen schon Opfer solcher Angriffe geworden sind – das ergibt sich zwangsläufig aus der Reife der Angriffe und Prozesse, aber auch aus unseren Untersuchungen des Untergrunds. In vielen Fällen wird aber einfach stillschweigend gezahlt. Ganz davon abgesehen, dass ich mir die Frage stelle, wie man solche Beträge buchhalterisch ausweist, bestärkt dies die Kriminellen. Daher bin ich dem E-Mail Provider dankbar, dass er diesen Fall in das Licht der Öffentlichkeit gezogen hat und allen klar macht, dass Bezahlen keine Lösung ist.

Wie auch bei der klassischen Schutzgelderpressung ist die Bezahlung für den Kriminellen nur das Zeichen, dass er sein Opfer „gebrochen“ hat und jetzt nur noch weiter den Druck zu erhöhen braucht. Man könnte auch Gewinnmaximierung dazu sagen…

Sollten Sie also Opfer einer solchen Attacke werden, sollten Sie dies Strafverfolgungsbehörden oder entsprechenden Meldestellen melden. Nur dann besteht die Chance, auch Informationen über ähnliche Falle bei anderen Unternehmen zu bekommen – bzw. der Spur des Geldes (oder des Erpressers!) zu folgen.