Hacker stellen Geschäftsmodell um
Cyberkriminelle wie die Ransomware-Gruppe BianLian oder Lockbit verlegen sich seit geraumer Zeit auf Datendiebstahl statt Datenverschlüsselung. Gedroht wird mit der Veröffentlichung sensibler Kundendaten. Erpressung ohne Verschlüsselung scheint das einträglichere Geschäftsmodell zu sein.
Die gute Nachricht zuerst: Innovationen der IT-Security-Hersteller wie KI-basierte Erkennungstechnologien sowie Backup-Systeme mit zuverlässigen und schnelleren Recovery-Funktionen nehmen der Datenverschlüsselung samt Stillstand der Produktionssysteme ihren Schrecken. Sie sorgen dafür, dass Cyberangriffe und ungewöhnliche Aktivitäten im Netzwerk erkannt und Gegenmaßnahmen getroffen werden. "Täter können, wenn überhaupt, nur noch Teilbereiche eines Unternehmens übernehmen, wenn sie auffliegen", sagt Richard Werner, Business Consultant bei Trend Micro. Ransomware ist damit zwar noch nicht besiegt, aber die organisierte Cyberkriminalität stellt fest, dass ihr Einnahmemodell Verschlüsselung nicht mehr so gut zieht.
Wären Akteure wie BianLian oder Lockbit börsennotiert, sie müssten Gewinnwarnungen melden und Analysten erklären, wo sie Wachstums-Chancen sehen. Und die kommen vermehrt aus dem Geschäft der Datenveröffentlichungserpressung. Neu ist diese Variante freilich nicht, aber sie liegt im Trend.
Die Gruppe BianLian sei von einem "Double-Extortion"-Schema direkt zum Datendiebstahl übergegangen, um die Opfer zur Zahlung zu bewegen, anstatt die Vermögenswerte ihrer Opfer vorerst zu verschlüsseln, beobachtet das Unit 42-Team von Palo Alto Networks. BianLian steht den Analysten zufolge in den Top-10 der aktivsten Ransomware-Banden und will im Ranking weiter nach oben steigen. BianLian sucht neue Entwickler und Mitglieder, so die Sicherheitsforscher von Palo Alto. Ziel-"Kunden" kommen vor allem aus Gesundheitswesen, verarbeitende Industrie, dem professionellen und juristischen Dienstleistungssektor - vorzugsweise in Nordamerika, aber auch in der EU und Indien ist die Cyberbande schon aufgefallen.
Ähnliche Einzugsgebiete auch bei der aggressiven Ransomware as a Service (RaaS)-Gruppe Lockbit, mit der aktuell die Schnellrestaurantkette Subway Bekanntschaft machen musste. Opfer sind zu etwa 70 Prozent kleinen und mittelständischen Unternehmen bis 500 Mitarbeiter. Pro Halbjahr zählt Trend Mirco zwischen 500 und 800 einzelne Opfer. Man weiß das aber nur deshalb, weil sie sich weigerten, für den Entschlüsselungscode Geld zu zahlen.
Das Argument der "Verschlüssler" sei in vielen Fällen "gar nicht mehr so groß, wie sie es gerne hätten", beschreibt Trend Micro-Experte Richard Werner. Daher verlegen sie sich darauf, Daten zu stehen und Unternehmen mit der Veröffentlichung zu drohen, wenn sie nicht zahlungswillig sind. Je sensibler die gestohlenen Daten, Kundendaten oder gar Geschäftsgeheimnisse, desto größer die Bereitschaft zur Zahlung, so ihr Kalkül.
Das Problem hierbei im Gegensatz bloß zu einer Verschlüsselung: Gestohlene Daten können nicht zurückgekauft werden. "Anders als bei materiellen Gütern wechselt der Besitz der Güter nicht. Sie werden einfach nur kopiert. Gestohlenen Daten verbleiben im Besitz der Täter", gibt Werner zu bedenken. Wer kann schon darauf vertrauen, dass Hacker einmal kopierte Daten endgültig löschen? Eine Art amtliches Löschungszertifikat gibt es nicht.
"Zahlt man, um eine Veröffentlichung zu verhindern, beweist man damit lediglich, dass es sich hier um wertvolle, interessante Informationen handelt, nicht um irrelevanten Datenmüll." Für das Opfer sei es sinnvoller festzustellen, welche Daten entwendet wurden und die Eigentümer über den Verlust zu informieren. "Denn das muss ohnehin geschehen, will man nicht bis in alle Zukunft erpressbar bleiben oder sich den Klagen Geschädigter gegenübersehen", so Werner.
Dreifach abkassieren
Mit der großen Menge gestohlener Daten wollen die Hacker Eindruck beim Opfer machen. Wenn es zahlt, umso besser. Wenn nicht, werden die Daten anderen kriminellen Kaufinteressenten angeboten. Leider passiert beides seht oft, so dass Hacker mit gestohlenen Daten zweimal abkassieren.
Und möglicherweise sogar die Wertschöpfungskette verlängern, indem sie die aus den persönlichen Daten identifizierten Personen angehen. "Eine geklaute Telefonnummer kann ein Enkeltrick werden. Auf die entwendete E-Mail-Adresse folgt ein Phishing-Angriff. An die physische Adresse werden Fake-Pakete gesendet und was mit Zahlungsinformationen passieren kann, muss niemandem erklärt werden", warnt Trend Micro-Manager Werner.
Datensparsamkeit beachten
Er rät daher zur Datensparsamkeit: "Eine Minimierung der persönlichen Daten wäre wünschenswert. Außerdem, dass diese nicht ständig irgendwo eingesammelt und gespeichert werden, wenn man dann nicht in der Lage ist, sie sicher zu schützen".
Datensparsamkeit sollte beim Nutzer anfangen. Unternehmen sollten darüber nachdenken, ob weniger Erfassung persönlicher Kundendaten nicht besser wäre. Damit nicht eintritt, was sich Werner wünscht: "Wenn es doch bloß sowas wie ein Gesetz dafür geben würde".