Cyberangriffe in SH: Erpressung, Macht und politische Ziele
Seit dem russischen Angriffskrieg haben Cyber-Attacken insbesondere auf staatliche Stellen zugenommen. Im Darknet bieten kriminelle Hacker "Auftragsarbeit" an. Auch Unternehmen sollten sich laut Experten besser schützen.
Noch immer jagt eine Konferenz die Nächste. Im Aquarium. So wird der gläserne Besprechungsraum im ZBW - Leibniz-Informationszentrum Wirtschaft in Kiel von Mitarbeitern genannt, in dem die Absprachen für die neue IT-Struktur der weltweit größten Spezialbibliothek für wissenschaftliche Literatur getroffen werden. Der Anlass: Ein Angriff mit Erpressersoftware. Experten nennen das "Ransomware". Vermutlich Anfang dieses Monats hatte es das Programm in das System der ZBW geschafft, sich durch die Server gewühlt, Daten kopiert, gelöscht oder verschlüsselt.
Während im Keller der Spezialbibliothek die letzten Laptops auf Viren gescannt, das Betriebssystem neu aufgesetzt oder aktualisiert wird, klärt ZBW-Direktor Klaus Tochtermann mit seinen IT-Experten, welche Systeme demnächst nach und nach zur Verfügung gestellt werden können, damit die rund 300 Mitarbeiter wieder arbeitsfähig werden. Klar ist aber auch, bis es so wie vor dem Angriff läuft, werden noch Monate vergehen.
Keine Verhandlungen mit Erpressern
Im gekaperten System der ZBW hatten die Angreifer eine Botschaft hinterlassen. Über einen Link, der ins Darknet führt, sollte mit der pro-russischen Hackergruppe "Royal" Kontakt aufgenommen werden. Das Angebot der Kriminellen: Lösegeld für die verschlüsselten Daten. ZBW-Direktor Tochtermann hat aber abgewunken. "Zu dem Zeitpunkt, als wir uns die Einladung zur Verhandlung über Lösegeld näher angeschaut haben, hatten wir bereits ein gutes Gefühl über das Ausmaß des Schadens. Und da war klar, das kriegen wir so wieder hin."
Tochtermann, selbst Informatiker, sieht in dem Angriff auch eine Chance. "Wir nutzen die Gelegenheit, durch den Aufbau einer neuen Sicherheitsstruktur ein höheres Sicherheitsniveau zu haben als vorher." Tochtermann rät anderen Firmen und Unternehmen, das Thema IT-Sicherheit nicht zu unterschätzen. "Jede Einrichtung sollte sich damit befassen, und zwar nicht ob, sondern wann sie angegriffen wird."
Angriff auf das Landesportal
Um Lösegeld ging es bei dem Angriff auf das Landesportal www.Schleswig-Holstein.de vor rund drei Wochen offenbar nicht. Cyberkriminelle gingen dort anders vor. Sie "bombardierten" mit einem sogenannten DDoS-Angriff die Server der Seite mit einer großen Anzahl von Anfragen. Die Folge: Die Seite war nicht mehr erreichbar, weil die Server überlastet wurden. Zu der Attacke bekannte sich die Gruppierung "NoName057(16)". Sie will westliche Staaten offensichtlich dafür "bestrafen", dass sie die Ukraine unterstützen.
Auch in diesem Fall führen die Spuren der Kriminellen offenbar nach Russland. Ein Sprecher des Bundeskriminalamtes (BKA) sagte, "es sei aktuell davon auszugehen, dass sich ein großer Teil der Gruppierungsmitglieder in der Russischen Föderation aufhält". So konkret will das Landeskriminalamt (LKA) Schleswig-Holstein nicht werden. "Das ist eine Gruppierung, die nach unseren Erkenntnissen, noch gar nicht so lange existiert und auf ihrem Telegram-Kanal Ziele veröffentlicht, die sie angegriffen haben will", so Lars Oeffner, Leiter des Dezernats für Cybercrime und Digitale Spuren im LKA Schleswig-Holstein.
Hacker mit schlechten Absichten können sich offenbar sicher fühlen
Oeffner und seine Kollegen im LKA merken, dass sich seit dem Angriff Russlands auf die Ukraine im Netz etwas verändert hat. "Solche zielgerichteten Angriffe, wie auf das Landesportal, haben seitdem zugenommen." Den Cyberkriminellen das Handwerk zu legen, ist für die Ermittler anscheinend sehr schwer. "Viele Gruppierungen sitzen im Ausland." Öeffner meint damit auch Länder, die mit der Polizei aus Schleswig-Holstein beziehungsweise Deutschland nicht zusammenarbeiten wollen. Auch aus diesem Grund ist es für den Dezernatsleiter oft schon ein Erfolg, wenn seine Kollegen herausfinden, wer hinter Cyberangriffen steckt, auch wenn die mutmaßlichen Täter zu diesem Zeitpunkt nicht festgenommen oder sogar verhaftet werden können.
Deshalb hoffen die Ermittler zum Beispiel darauf, dass die Cyberkriminellen Fehler im "Real-Life" machen. Das sie vielleicht in ein Land einreisen, mit dem die Beamten zusammenarbeiten und die Täter dort geschnappt werden können. Die Aufklärungsquote der Cyber-Abteilung zeigt, wie schwer es ist, kriminelle Profi-Hacker zu erwischen. Dezernatsleiter Oeffner spricht bei Ransomware-Angriffen, wie im Fall der ZBW, von einem niedrigen einstelligen Bereich, bei anderen Delikten, zum Beispiel bei Computerbetrug, ist die Aufklärungsquote nach seinen Worten wesentlich höher.
Kriminelle bieten Dienstleistung an
Ein Blick ins Darknet zeigt ein florierendes Geschäftsmodell von kriminellen Hacker-Gruppen. Mit wenigen Klicks ist es möglich, sich dort an "Dienstleister" zu wenden, die "Erpressungssoftware" vermieten oder DDoS-Angriffe auf Webseiten oder Server ausführen. Das Angebot ist vielfältig, bei DDoS-Angriffen können Auftraggeber zum Beispiel auswählen, wie viele Attacken ausgeführt werden sollen, um Server lahmzulegen. Je stärker der Angriff, umso teurer wird es. Bezahlt wird mit der Kryptowährung Bitcoin.
Auf diese Dienstleistungen hat auch das LKA in Schleswig-Holstein einen Blick. Die Ermittler nennen das "Cybercrime as a Service". Dezernatsleiter Oeffner meint dazu: "Man muss heute gar nicht mehr über ein spezielles IT-Wissen verfügen, man kann sich im Darknet alles mieten oder kaufen." Cyber-Angriffe auf Unternehmen und Betriebe werden so offenbar zum Kinderspiel, vor allem, wenn die Firmen schlecht gegen solche Attacken geschützt sind. An der Fachhochschule in Kiel beobachtet Professor Christian Krauss den Umgang von kleinen und mittelständischen Unternehmen mit ihrer IT-Sicherheit mit Sorge. "Ich habe manchmal den Eindruck, wir stecken im letzten Jahrtausend. Mit der Verbreitung des Internets sind Chancen gekommen, man geht mit Unternehmen ins Netz, präsentiert sich dort. An Sicherheit wird erst ganz am Ende gedacht, es gibt noch einen erheblichen Schulungsbedarf."
Unternehmensverband hält Task Force für nötig
Der Unternehmensverband UVNord bestätigt auf Anfrage von NDR Schleswig-Holstein, dass vermutlich die Hälfte der kleineren Unternehmen bei uns im Land nicht ausreichend gegen Angriffe von Cyberkriminellen geschützt ist. Vor allem im Handwerk und im Handel gibt es laut Hauptgeschäftsführer Michael Thomas Fröhlich noch Nachholbedarf. Wirtschaft und Politik müssten beim Thema Cybersicherheit in Zukunft enger als bislang zusammenarbeiten. Helfen könnte aus seiner Sicht, wenn die Landesregierung einen Koordinator für Wirtschaftsschutz einsetzen würde.
Außerdem sollten sich Wirtschaft, Politik, Behörden und IT-Experten in einer landesweiten Allianz mit einer Task Force zusammenschließen. In Schleswig-Holstein fehlen laut Hauptgeschäftsführer Fröhlich auch Fachkräfte mit ausreichend IT-Kenntnissen. Bei diesem Thema könnte die FH Kiel langfristig helfen. Dort wurde jetzt eine Professur für IT-Sicherheit ausgeschrieben, mit dem Ziel einen neuen Studiengang zu etablieren, in dem die IT-Experten von morgen ausgebildet werden.