Auf Spurensuche im Netz
Das Milliardengeschäft Cybercrime
Thomas Koch, EY Deutschland
(Titelbild: © AdobeStock | 247294585 | blackboard)
Kurz und Bündig
Trotz umfassender Sicherheitstechnologie traten Cyberangriffe noch nie so häufig auf wie heute. Ransomware stellt dabei eine der größten Bedrohungen für Unternehmen dar, und hat sich zwischenzeitlich regelrecht als erfolgreiches Geschäftsmodell für Hacker etabliert. Die Cyberforensik untersucht in mehreren Schritten die hinterlassenen Spuren einer Cyberattacke und hilft Betroffenen, den Angriff aufzuarbeiten und den Regelbetrieb wiederherzustellen.
Der Oktober ist international dem Thema Cybersicherheit gewidmet. Im Rahmen von Veranstaltungen, Fachvorträgen und einer Vielzahl von Beiträgen in den einschlägigen Medien wird regelmäßig die Bedeutung des Wissens um Bedrohungen und Risiken aus dem Cyberspace, neudeutsch „Cyber Awareness“, hervorgehoben. Ransomware – Erpressungstrojaner, die Datenbestände verschlüsseln – und einhergehende Lösegeldforderungen stellen zur Zeit eine der häufigsten und am meisten gefürchteten Bedrohungen aus dem Netz dar. Die Cyberforensik verfolgt die Spuren der Täter und unterstützt Betroffene bei der Wiederherstellung ihrer Daten.
Cyberattacken und Betrugsversuche rechtzeitig zu erkennen, ist die Zielsetzung aller Schulungsmaßnahmen zur Cybersicherheit. Auch wenn einige dieser Schulungen trivial anmuten: Die gewöhnliche Phishingmail ist immer noch die meistgenutzte Angriffsmethode auf die Mitarbeitenden eines Unternehmens.
Der unlängst verstorbene Sicherheitsexperte Kevin Mitnick, ein geläuterter klassischer Hacker, hat es einst treffend beschrieben: „Unternehmen geben Millionen von Dollar aus für Firewalls, Verschlüsselung und sicheren Zugang zu Geräten, und (doch) ist es verschwendetes Geld, weil sich keine dieser Maßnahmen an das schwächste Glied der Kette richtet: die Menschen, die die Systeme, die geschützte Informationen enthalten, benutzen, verwalten, betreiben und für sie verantwortlich sind.“
So hat Cyberkriminalität trotz aller Investitionen in Sicherheitstechnologie über die letzten Jahre nichts von ihrem Schrecken eingebüßt. Eher ist das Gegenteil der Fall: Niemals waren die Anzahl der Angriffe, das Volumen gestohlener Daten und die Summe der erpressten Lösegelder höher als heute. Für das Jahr 2022 schätzt der Branchenverband Bitkom die durch Cyberkriminalität entstandenen Schäden in Deutschland auf nicht weniger als 200 Milliarden Euro [1]– Dunkelziffer unbekannt.
Im Trend – Erpressungstrojaner
Von mutwilliger Störung von Betriebsabläufen über Diebstahl von geistigem Eigentum und Kundendaten bis hin zur Verschlüsselung geschäftskritischer Datenbestände – die Liste von Cyberstraftaten im geschäftlichen Kontext ist lang, und nicht selten gefährden die Auswirkungen den Fortbestand eines betroffenen Unternehmens.
Das derzeit häufigste und von Führungskräften in Deutschland auch zu Recht am meisten gefürchtete Angriffsszenario stellen die sogenannten Erpressungstrojaner („Ransomware“) dar: Im Rahmen der Befragung für die Datenklaustudie 2023 „Virtuelle Gefahr, reale Schäden“ von EY [2], gaben 55 Prozent der von einem konkreten Cyberangriff Betroffenen an, dass dieser Angriff von Banden des organisierten Verbrechens durchgeführt worden war, samt entsprechender Lösegeldforderung. Die finanziellen Anreize für die Täter sind gewaltig, das „Risiko“ einer erfolgreichen strafrechtlichen Ermittlung in den mutmaßlichen Herkunftsländern ist dagegen nur gering.
Wenn auf den Bildschirmen in der Firma nurmehr eine Lösegeldforderung in Höhe von einigen Bitcoin erscheint, dann beginnt die digitale Spurensuche nach Tätern und Angriffsmethode. Das übergeordnete Ziel der Incident Response, der unmittelbaren Nothilfe bei Cyberangriffen, besteht darin, die operative Einsatzfähigkeit der betroffenen Infrastruktur wiederherzustellen. Dies geht in der Praxis erheblich über die rein technische Wiederherstellung hinaus und umfasst auch die Unterstützung in der Kommunikation mit Behörden und Institutionen der Strafverfolgung, die Koordination der Aktivitäten intern verantwortlicher Stellen wie Personalabteilung oder Marketing, den Austausch mit juristischen Beraterinnen und Beratern – und nicht selten auch die Lösegeldverhandlungen mit den Angreifern sowie die Einrichtung einer Crypto Wallet samt der Beschaffung entsprechender Kryptowährung als Zahlungsmittel. Und währenddessen untersuchen die Cyberforensiker Spuren und Artefakte, um den Hergang des Angriffs zu rekonstruieren und in einer Zeitschiene abzubilden.
Ransomware-as-a-service
Sie nennen sich Lockbit, Cuba, ALPHV oder LAPSUS$ – cyberkriminelle Banden, die häufig medienwirksame Angriffe auf Unternehmen ausführen. Erstmals einer breiten Öffentlichkeit bekannt geworden sein dürfte das Phänomen dieser Form organisierter Kriminalität im Internet im Mai 2017, als die Malware Wannacry weltweit Unternehmen, Behörden und öffentliche Infrastruktur lahmgelegt hat und der Angriff daher auch auf breites Interesse der Mainstream-Medien getroffen ist. Die Auswirkung von Cyberkriminalität war plötzlich unmittelbar spürbar und in aller Munde.
Die prinzipielle Vorgehensweise von Ransomwaregruppen hat sich seither kaum verändert. Durch die Einschleusung einer Malware, deren Zweck zunächst die Ausleitung von Informationen aus der kompromittierten Umgebung und die anschließende Verschlüsselung der Datenbestände eines Unternehmens ist, verschaffen sich diese hochprofessionellen Akteure die entsprechenden Druckmittel, um von ihren Opfern teils enorm hohe Lösegelder zu erpressen.
Zu den jüngeren Entwicklungen in diesem Sektor zählt sicher, dass verschiedene Ransomware-Gruppen in einer Art Franchisesystem ihre Dienste anbieten und die Nutzung ihrer Infrastruktur und ihrer Malware gegen Entgelt ermöglichen. In Anlehnung an legitime Geschäftsmodelle spricht man von „Ransomware-as-a-Service“: Mutmaßliche Angreifer müssen nicht mehr selbst über die technischen Fähigkeiten zur Durchführung einer Cyberattacke verfügen, sondern kaufen sich die Nutzungsrechte am Erpressungstrojaner über eine Beteiligung, die an die Höhe der erpressten Gelder gekoppelt ist.
Die Ransomwaregruppen selbst bieten die technische Unterstützung – sowohl für ihren Kunden in der Ausführung des eigentlichen Angriffs als auch für die Opfer – und stehen ganz im Sinne eines technischen Supports für Fragen per Chat oder E-Mail zur Verfügung. Was auf eine perfide Art faszinierend nach professioneller Dienstleistung klingt, hat für die Opfer gravierende Auswirkungen.
Die Spurensicherung nach dem Angriff
Ransomwareangriffe können für die betroffenen Unternehmen verheerende Folgen haben, da wichtige Daten verloren gehen und geschäftskritische Systeme oder Produktionskapazitäten zeitweise oder dauerhaft funktionell eingeschränkt werden können.
Wenn es zu einem Ransomwareangriff kommt, ist daher eine schnelle und gut orchestrierte Reaktion wichtig, um den operativen Betrieb möglichst schnell wiederherzustellen. Eine computerforensische Untersuchung dient dazu, den Angriff zu analysieren und seinen Ursprung zu finden. Zunächst muss festgestellt werden, welche Art von Ransomware verwendet und wie der Angriff durchgeführt wurde. Hierfür können verschiedene Indizien herangezogen werden. Typische Artefakte, die bei einem Ransomwareangriff gefunden werden, sind verschlüsselte Dateien mit einer spezifischen Dateiendung (zum Beispiel. „.lockbit“), auf dem Desktop prominent platzierte Textdateien mit Anweisungen zur Zahlung des Lösegeldes (zum Beispiel. „HOW TO DECRYPT FILES.TXT“), darin enthaltene E-Mail-Adressen oder URLs, über die die Täter kontaktiert werden können, und schließlich Dateien mit dem Namen der Ransomware (zum Beispiel „WannaCry.exe“). Zuweilen werden auch die Hintergrundbilder durch entsprechende Nachrichten der Erpresser ausgetauscht.
Die Interpretation dieser Indizien hilft, den Angriff zu verstehen und die Täter zu identifizieren. Dies wiederum lässt Rückschlüsse auf die angewandte Vorgehensweise und auf die Wahrscheinlichkeit zu, dass eine eventuelle Zahlung auch in eine „Lieferung“ des Entschlüsselungswerkzeugs mündet. Tatsächlich leben Cyberkriminelle in gewisser Weise von ihrer Reputation und Zuverlässigkeit: Wenn Opfer trotz einer Lösegeldzahlung keinen Zugriff mehr auf ihre Daten erhielten, würde niemand mehr Lösegelder aufbringen, und das „Geschäftsmodell“ der Erpresser wäre am Ende.
Der zweite Schritt ist die Analyse der Auswirkungen des Angriffs. Dabei wird untersucht, welche Daten gestohlen beziehungsweise verschlüsselt wurden. Haben die Angreifer Zugriff auf personenbezogene Daten erhalten, die nach geltender Rechtslage als besonders schützenswert betrachtet werden? Dann ergeben sich für das betroffene Unternehmen unmittelbare rechtliche Verpflichtungen wie die Benachrichtigung von Datenschutzbehörden und die Information der betroffenen Personen. Die Analyse kann auch helfen, den Wert der betroffenen Daten zu bestimmen, was für die Entscheidungsfindung bezüglich einer eventuellen Lösegeldzahlung in der Regel wichtig ist.
Apropos Lösegeldforderung: Nicht wenige Cyberkriminelle sind mittlerweile zu einem als „Triple Extortion Scheme“ (etwa: Dreifacherpressung) bekannten Muster übergegangen: Sie verlangen Lösegeld für die Entschlüsselung, ein weiteres für die Vernichtung der Kopien der gestohlenen Daten, und anschließend werden weitere eventuell von dem Datenleck betroffene Personen oder Unternehmen erpresst. Diese Kaskade lässt sich regelmäßig beobachten. Wesentliche Schritte der cyberforensischen Untersuchung sind die Bestimmung der Infektionsquelle und des sogenannten „Patienten null“. Typische Infektionsquellen sind infizierte E-Mail-Anhänge, Links in E-Mails oder auf Webseiten oder auch technische Schwachstellen in der Infrastruktur (zum Beispiel in Firewalls). Die gewonnenen Erkenntnisse dienen üblicherweise zur nachgelagerten Verbesserung des allgemeinen Schutzniveaus, um ähnliche Angriffe in Zukunft bestenfalls zu verhindern.
Und wer sind die Täter?
Cyberkriminalität ist vielschichtig und die Täterstrukturen entsprechend komplex, aber gerade im Bereich der Ransomwaregruppen zeichnen sich wiederkehrende Muster ab. Staatlich unterstützte Täter nutzen die Erpressung als Mittel zur Devisengewinnung für ein international isoliertes Regime wie Nordkorea [3]. Andere organisierte Tätergruppen, insbesondere wenn sie Terrororganisationen nahestehen, finanzieren mit den erpressten Lösegeldern Waffenkäufe und Anschläge.
Moralisch flexible Mittzwanziger, die sich ein Luxusleben auf Kosten ihrer Opfer leisten, [4] oder Heranwachsende, die eine Fahrdienstleistungsplattform angreifen, [5] finden sich allerdings eher selten unter den Tätern.
Das Geschäft mit der Erpressung wird erheblich durch die geopolitische Lage befeuert. Und so, wie diese gerade insbesondere durch den Krieg in der Ukraine bestimmt wird, kann auch hinsichtlich der allgemeinen Bedrohungslage in Bezug auf organisierte Cyberkriminalität von Entspannung leider noch keine Rede sein. Mit den dynamischen Entwicklungen der Cyberkriminalität Schritt zu halten, bleibt daher die größte Herausforderung für die Cyberforensik.