Von Ralf Keuper
Wer die Meldungen über Hackerangriffe auf Unternehmen und Behörden verfolgt, kann schon mal zu dem Schluss kommen, dass es sich hierbei um eine Anhäufung von Einzelfällen handelt. Vor dem inneren Auge erscheint dann schnell das Bild eines einsamen Hackers, der im Keller seines Hauses den ganzen Tag vor dem Bildschirm sitzt und irgendwie versucht, in fremde Netzwerke einzudringen. Hin und wieder scheinen auch größere Gruppen aktiv zu sein, die sich merkwürdige Namen geben, dann aber aus dem Blick und Interesse geraten, bis ein neuer Fall auftritt. Dass sich dahinter eine hochprofessionelle Branche verbirgt, die nach ökonomischen Prinzipien handelt und den höchst möglichen Gewinn erzielen will, geht dabei unter.
In dem Buch Underground Economy. Wie Cyberkriminelle Wirtschaft und Staaten bedrohen wird der Schleier gelüftet und der Blick auf eine Schattenwirtschaft freigegeben, deren Ambitionen noch lange nicht gestillt sind: “Hinter den Erpressergruppen, die immer mal wieder öffentlichkeitswirksam in Erscheinung treten, verbirgt sich ein weitverzweigtes Netz von Partnern und Playern, jeder mit seinen eigenen Spezialisten und klar definierten Aufgabenbereichen. Es gibt etwa Phishing-Spezialisten, Schadcode-Entwickler und ‑Programmierer, Händler von Zugangsdaten, Serviceanbieter, Finanzdienstleister usw. Persönlich kennen sie sich untereinander nicht. .. Gemeinsam bilden sie eine Schattenwirtschaft, bestehend aus einer vollständigen Wertschöpfungskette: Einziger Unterschied zur klassischen Wirtschaft: Ihr Geschäftsmodell ist auf der ganzen Linie illegal”.
Mit der Zeit haben die Cyberkriminellen ihre Geschäftsfelder erweitert. Was einst mit profanem Passwortdiebstahl begann, hat sich bis zu Ransomware as a Service oder Access as a Service entwickelt. Bis heute ist der sog. Zero Day eine der verlässlichsten Einnahmequellen der Branche: “Mit diesem Begriff ist der Tag gemeint, an dem irgendjemand eine Schwachstelle in einem Computersystem entdeckt. Also jener Zeitpunkt, an dem ein Anbieter eines Programms selber davon noch keine Kenntnis hat und folglich noch keinen Tag (“Zero Day”) Zeit hatte, die Schwachstelle zu schließen”. Diese zeitliche Lücke – zwischen dem Auftreten der Lücke und dem Einspielen des Sicherheitsupdates – machen sich die Hacker zunutze, wie zuletzt bei Log4J. Dabei können die Hacker darauf vertrauen, dass in vielen Unternehmen die Updates, wenn überhaupt, zeitlich verzögert eingespielt werden.
Relativ neu sind gezielte Angriffe auf Lieferketten, wovon besonders IT-Dienstleister betroffen sind. Beispielhaft dafür ist der Hackerangriff auf die Fiducia im Juni 2021. Im Zuge des Angriffs auf das Fiducia-Netz wurde das Online-Banking zahlreicher Banken lahmgelegt, indem das Rechenzentrum mit Datenanfragen so lange überflutet wurde, bis die Server zusammenbrachen (DDoS-Attacke).
Die nächste Stufe ist die Killerware, d.h. es geht nicht mehr um Erpressung, sondern um Zerstörung, der auch Menschen zum Opfer fallen können. Ein erster möglicher Fall war der Angriff auf eine Wasseraufbereitungsanlage in Florida:“Dieser Angriff hatte zum Ziel, verseuchtes Wasser an die Bevölkerung zu verteilen. … Glücklicherweise scheiterte die Attacke”. Daraus folgt dann aber auch, dass es nicht mehr nur um die Gewinnerzielung geht.
Beim Finanzmanagement der Hacker-Gruppen spielen Bitcoin und Monero eine zentrale Rolle, um die Spur des Geldes zu verwischen. Dabei werden die Transaktionen zwischen verschiedenen Kryptowährungen (z.B. Bitcoin/Monero bzw. Monero/Bitcoin) hin und her geschoben. Die Zahlung von Lösegeldern erfolgt mittlerweile fast überwiegend mit Monero, da die Ermittler Bitcoin inzwischen komplett nachverfolgen können.
Ebenfalls im Kommen ist der Online-Anlagebetrug. Als Lockmittel werden hierbei Werbe-Emails verwendet, die suggerieren, Zeitungen, Fernsehen und Finanzportale würden über Prominente berichten, “wie sie mit Bitcoin und anderen Kryptowährungen große Gewinne eingefahren hätten”. Die Nutzer werden animiert, sich auf Pseudobörsen zu registrieren. Daraufhin nehmen die Hacker, die sich als Anlageberater ausgeben, direkt Kontakt mit den Opfern auf. Diese werden dazu motiviert, ihr Geld zu investieren, in dem Glauben, sie würden das Geld auf ihr eigenes Konto auf der Trading-Plattform transferieren, um dort mit verschiedenen Kryptowährungen zu handeln. Wenn die Nutzer sich dann später ihr Geld wieder auszahlen lassen möchten, ist das Geld schon längst anderswo – häufig in Osteuropa, wohin es über schlecht regulierte Finanzplätze wie Zypern und Malta gelangt.
Die Autoren zeigen, dass wir es schon längst mit professionell organisierten Gruppen zu tun haben, die das Potenzial bestehender Geschäftsfelder bis zum Rand ausschöpfen und immer wieder neue erschließen, wobei sie mit der Zeit ihre Skrupel verlieren. Um dieser Gefahr effektiv zu begegnen, sind Unternehmen, Behörden gezwungen, sich ebenfalls zu vernetzen und entsprechendes Know How aufzubauen, so noch nicht geschehen. Das gilt auch oder gerade für kleine und mittlere Unternehmen.