Ukrainische und südkoreanische Polizisten setzten im Raum Kiew sechs Cyberkriminelle der „Clop“-Bande fest, die auch deutsche Firmen erpressten. Ukrainische Nationalpolizei

Lösegeld: Heutzutage wird es kaum noch durch Entführungen erpresst, sondern mit Angriffen auf die Rechner von Unternehmen und Behörden. Verbrecher installieren bei ihnen sogenannte Ransomware, die den Zugriff der Mitarbeiter auf ihre Dateien blockiert. Dann kommt eine Lösegeldforderung mit dem Versprechen, bei Zahlung die Daten wieder freizugeben. Weltweit herrscht Unsicherheit, wie man mit derlei Angriffen umgehen soll. 

Der Fleischverarbeitungskonzern JBS zahlte elf Millionen Dollar Lösegeld, musste wegen des Ransomware-Angriffs Fabriken in Nordamerika und Australien stilllegen. Getty Images/AFP/Chet Strange

In den USA wird nach Ransomware-Angriffen auf einen Pipeline-Betreiber und einen Fleischproduzenten heiß diskutiert: Die US-Regierung rät von Lösegeldzahlungen ab, weil unsicher ist, ob sie helfen. Außerdem kann das Geld für weitere, ausgefeiltere Angriffe genutzt werden.  Allerdings können die Folgen einer Zahlungsverweigerung insbesondere für kleine und mittlere Unternehmen verheerend sein.

FBI fand Teil des Lösegelds

Ein  Gesetzentwurf sieht als ersten Schritt eine sofortige Meldung von Ransomware-Attacken vor. Dadurch soll die Identifizierung der Angreifer und das Wiedererlangen von Lösegeld ermöglicht werden. Im Fall des Pipeline-Betreibers Colonial Pipelines gelang es dem FBI, einen Großteil des Lösegelds in Höhe von mehr als 3,6 Millionen Euro sicherzustellen.  

Lesen Sie auch: Der Angriff auf die Pipeline-Firma >>

In Großbritannien ist Versicherungsfirmen seit 2015 verboten, Unternehmen für an Terroristen gezahlte Lösegelder zu entschädigen. Einige finden, dass dieses Modell auf jegliche Zahlungen angewendet werden soll, die aufgrund von Ransomware getätigt wurden. „Letztendlich haben die Terroristen aufgehört, Menschen zu entführen, weil sie gemerkt haben, dass sie nicht bezahlt werden“, sagte Adrian Nish von der Sicherheitsfirma BAE Systems.

Auch Irland weigerte sich, zu verhandeln, als ein Cyberangriff das nationale Gesundheitssystem Mitte Mai traf. Doch eine Woche nach dem Angriff – und nachdem die russische Botschaft den Vorschlag gemacht hatte, „bei den Ermittlungen zu helfen“ – händigten die Angreifer den Entschlüsselungscode aus. Dennoch sind viele digitale Patientenakten weiter unzugänglich, Krebsbehandlungen finden noch nicht wieder vollständig statt.

Datenverlust trotz Lösegeld

„Ein Entschlüsselungscode ist kein Zauberstab, der den Schaden plötzlich rückgängig machen kann“, sagte Brian Honan, ein irischer Berater für Cybersicherheit. Jedes Gerät müsse getestet werden, um sicherzustellen, dass es frei von schädlicher Software sei. Dabei ist eine vollständige Wiederherstellung der Daten nicht garantiert. Im Durchschnitt erhalten die Betroffenen nur 65 Prozent zurück, wie das Unternehmen Sophos in einer Umfrage unter 5400 IT-Entscheidungsträgern aus 30 Ländern herausfand.

Lesen Sie auch: Viele vernachlässigen den Schutz ihres Rechners >>

In Deutschland rät das Bundeskriminalamt, kein Lösegeld zu zahlen und Anzeige zu erstatten. Auf seinen Internetseiten gibt das BKA Hinweise, wie man seine Unternehmens-IT schützen kann. Denn bei einem anfälligen System  droht nicht nur eine finanzielle Forderung, sondern weiterer Schaden wie im Fall des Strom- und Wärmeversorgers Technische Werke Ludwigshafen: Der zahlte nicht, da tauchten seine Daten samt Informationen über die Kunden im Darknet auf.

Vor wenigen Tagen nahm die ukrainische Polizei sechs Personen einer Hackergruppe fest, die unter anderem für diese Tat verantwortlich gemacht werden. Die eigentlichen Drahtzieher werden aber in Russland vermutet.

Attacken auf Corona-Bekämpfer

2020 verzeichnete das BKA vermehrt Angriffe auf Krankenhäuser und Einrichtungen, die gegen Corona kämpfen. Es gab Drohungen, gestohlene Patientendaten oder Forschungsergebnisse zu veröffentlichen. Bei einer Umfrage des Cyber-Versicherers Hiscox kam heraus, dass 46 Prozent der deutschen Firmen schon einmal von Ransomware-Erpressern angegriffen und teilweise mit Millionenforderungen überzogen wurden.