Es war nur ein einziges Passwort, das die Hacker erbeuteten. Doch der damit angerichtete Schaden war immens: Im Frühjahr hatte eine Attacke auf den US-Benzinlieferanten Colonial Pipeline dafür gesorgt, dass die Ostküste der Vereinigten Staaten zeitweise nicht mit genügend Sprit versorgt wurde.
Angriffe wie dieser dürften zunehmen. Denn Hacker haben verstärkt kritische Infrastruktur und globale Lieferketten im Visier. Davor warnen die Experten des zur Allianz gehörenden Industrieversicherers AGCS in einer aktuellen Studie. „Angriffe auf die Lieferkette sind der aktuelle Trend schlechthin“, so die Autoren. Neben den Attacken auf physische Lieferketten werden immer häufiger auch Software- und IT-Dienstleister gehackt. Weil ihre Rechner mit einer Vielzahl von Unternehmen vernetzt sind, bieten sie den Cyberkriminellen einen Weg, Erpressungssoftware in kürzester Zeit zu verbreiten.
Angriffe mit der Schrotflinte
Während der Covid-19-Krise sei im Cyberspace eine weitere Pandemie ausgebrochen – eine digitale Pandemie durch Ransomware, heißt es im AGCS-Report. Bei solchen Angriffen werden Daten und Systeme verschlüsselt. Für die Freigabe verlangen die Hacker dann ein Lösegeld. „Die Zahl der Ransomware-Angriffe könnte sogar noch zunehmen, bevor sich die Lage bessert“, sagt Scott Sayce, Global Head of Cyber bei AGCS. „Nicht alle Angriffe sind zielgerichtet. Die Kriminellen gehen auch mit der Schrotflinte vor, um jene Unternehmen zu treffen, die sich nicht um ihre Schwachstellen und Sicherheitslücken kümmern oder sie nicht kennen.“
Laut des Beratungsunternehmens Accenture ist die Zahl der weltweiten Cyberangriffe in der ersten Jahreshälfte 2021 im Vergleich zum Vorjahreszeitraum um 125 Prozent gestiegen. Das Gros des Anstiegs ist auf Ransomware und Erpressungsversuche zurückzuführen. Allein in den USA gab es nach Angaben des FBI im gleichen Zeitraum einen Anstieg der Ransomware-Vorfälle um 62 Prozent – nachdem im gesamten Jahr 2020 bereits ein Anstieg von 20 Prozent verzeichnet worden war.
Besorgniserregend ist laut den Experten auch der Trend zur doppelten oder gar dreifachen Erpressung. Dabei kombinieren Kriminelle die anfängliche Verschlüsselung von Daten oder Systemen oder zunehmend auch deren Backups mit einer weiteren Erpressung, etwa mit der Drohung, sensible oder persönliche Daten zu veröffentlichen. In einem solchen Szenario müssen die betroffenen Unternehmen sowohl mit einer größeren Betriebsunterbrechung als auch mit einem Datenleck rechnen, was die Gesamtkosten des Vorfalls erheblich erhöhen kann. Dreifache Erpressung kann eine Kombination aus Denial-of-Service-Angriffen (DDoS), Dateiverschlüsselung und Datendiebstahl sein – und zielt nicht nur auf ein Unternehmen, sondern möglicherweise auch auf dessen Kunden und Geschäftspartner.
Hacker zum Mieten
Die Hauptgründe für den Anstieg der Cyberkriminalität: Die steigende Abhängigkeit von der Digitalisierung, die Zunahme der Fernarbeit während der Covid-19-Pandemie sowie IT-Budgetbeschränkungen. Hinzu kommt laut AGCS die zunehmende Verbreitung von Kryptowährungen wie Bitcoin, die anonyme Zahlungen ermöglichen. Zudem haben Kriminelle heute leichtes Spiel: Hacker-Gruppen wie REvil und Darkside verkaufen oder vermieten ihre Hacking-Tools wie ein kommerzielles Unternehmen an andere. Zusätzlich bieten sie eine Reihe von Unterstützungsdiensten wie Hotlines an.
In der Folge sind die Lösegeldforderungen in den letzten 18 Monaten in die Höhe geschossen. Nach Angaben von Palo Alto Networks lag die durchschnittliche Erpressungsforderung in den USA in der ersten Jahreshälfte 2021 bei 5,3 Millionen Dollar – ein Anstieg von 518 Prozent im Vergleich zu 2020. Die höchste Einzelforderung lag bei 50 Millionen (2020: 30 Millionen Dollar). Allerdings: Der durchschnittliche Betrag, der an Hacker gezahlt wird, sei etwa zehnmal niedriger als die durchschnittliche Forderung, so der AGCS-Report. Dennoch sei dieser allgemeine Aufwärtstrend alarmierend.
Lösegeld zahlen oder nicht zahlen?
Von Cyberangriffen betroffene Unternehmen stehen häufig vor der Frage, ob sie auf die Lösegeldforderungen eingehen sollten oder nicht. Die Strafverfolgungsbehörden raten in der Regel davon ab, Erpressungsforderungen zu zahlen, um Angriffe nicht noch weiter zu fördern. Aber: „Klar, wenn es irgendeine Option gibt an die Daten zu kommen, ohne zu bezahlen, würde ich auch sofort davon abraten. Aber die Mehrzahl der Unternehmen sind technisch leider nicht so gut aufgestellt“, sagte Andreas Dondera, Leiter der Zentralen Ansprechstelle Cybercrime beim LKA Hamburg, im DUP Digital Business Talk. Und spätestens wenn die Situation existenzbedrohend werde, sei Lösegeld eben die einzige Option.
Doch selbst wenn sich ein Unternehmen für die Zahlung entscheidet, kann der Schaden bereits entstanden sein. Die Wiederherstellung der Systeme und die Wiederaufnahme des Geschäftsbetriebs sind ein gewaltiges Unterfangen, selbst wenn ein Unternehmen den Entschlüsselungscode hat. Die durchschnittlichen Gesamtkosten für Wiederherstellung und Ausfallzeit – im Durchschnitt 23 Tage – nach einem Ransomware-Angriff haben sich in den letzten zwölf Monaten mehr als verdoppelt und sind von 761.106 Dollar auf 1,85 Millionen Dollar im Jahr 2021 gestiegen.