„Nicht zahlen“ oder „nicht zahlen“ – das ist hier die Antwort!

von Raimund Genes, CTO

„Jung, männlich, technikbegeistert, wenig Sozialkontakte und Bedürfnis nach Aufmerksamkeit“ – so oder so ähnlich schwirrt in den Köpfen vieler noch die Vorstellung des „typischen Cyberkriminellen“ herum. Seit Jahren versuchen wir, diese Vorstellung aus den Köpfen unserer Kunden zu vertreiben, da sie nicht nur falsch, sondern schlichtweg gefährlich ist. „Der“ Cyberkriminelle wird damit nämlich leider sehr verharmlost…
Heutige Cyberkriminelle sind hochprofessionell und nur durch eins motiviert: Geld. Diese noch als „Nerd“ zu verniedlichen, ist in etwa so, als ob man einen Mafiaboss des „Mundraubs“ bezichtigt.

Ein aktueller Fall in der Schweiz zeigt deutlich, dass – obwohl ein Teil der Tat im Cyberspace stattfindet – ein Großteil „klassisch“ abläuft: Im konkreten Fall wurde ein E-Mail-Provider in der Schweiz mittels Distributed-Denial-of-Service-Attacken angegriffen. Dieser Teil der Tat, die Drohung, fand also tatsächlich im Cyberspace statt. Im nächsten Schritt wurden dann jedoch Schutzgeldforderungen gestellt. Und obwohl die Bezahlung über Bitcoins stattfinden sollte, ist Schutzgelderpressung doch eher ganz alte Schule…

Nicht verhandeln

Gemäß der eher aus der Politik bekannten Doktrin „Wir verhandeln nicht mit Terrorristen“ bzw. „Wir gehen auf keine Lösegeldforderungen ein“ entschloss sich der Provider gegen die Zahlung. Der darauf folgende DDoS-Angriff richtete sich nicht nur gegen ihn selbst, sondern auch gegen dessen Internet-Service-Provider und dessen Rechenzentrum. Der Angriff war so massiv, dass auch andere Kunden betroffen waren! Damit erhöhte sich der externe Druck „einfach zu zahlen“ massiv – und der E-Mail-Provider entschloss sich zähneknirschend, das geforderte Schutzgeld von 15 Bitcoins (etwa 5.350 Euro) zu zahlen. An dieser Stelle könnte die Geschichte jetzt auch wieder vorbei sein – und außer ein paar Eingeweihten (bzw. Betroffenen) wüsste niemand etwas darüber.

Doch das ist leider nicht der Fall: Selbst nachdem gezahlt wurde, gingen die Angriffe weiter. Auch ist unklar, ob dies nur aus Rache für die späte Zahlung oder schlichtweg als Vorbereitung für die nächste Forderung gedacht ist. Jedoch zeigt es deutlich, wieso eine entsprechende Doktrin befolgt wird.

Der E-Mail Provider hat diesen Angriff inzwischen mit vielen Details öffentlich gemacht und verlautbaren lassen, dass er niemals wieder Lösegeld zahlen werde. Dank der Zusammenarbeit mit MELANI (Schweizer Melde- und Analysestelle Informationssicherung) ist inzwischen klar, dass auch andere Firmen Opfer dieser Angriffe waren und diese entweder in verschiedenen Stufen oder sogar von verschiedenen Gruppen ausgeführt werden.

Nicht Nerds, sondern organisierte Kriminalität

Dieses Beispiel zeigt deutlich, dass wir es eben nicht mehr mit jugendlichen „Nerds“ zu tun haben, die ein wenig randalieren wollen. Heutige Cyberkriminelle sind der organisierten Kriminalität zuzuordnen. Dies zeigt sich sowohl in erprobten „Geschäftsmodellen“ (z.B. Schutzgelderpressung), die einfach in den Cyberspace übertragen werden, als auch an den notwendigen Strukturen im Hintergrund. Nehmen wir als Beispiel das Schutzgeld: Im realen Leben ist die Geldübergabe für den kriminellen die gefährlichste Aktion. Auch sind Strafverfolgungsbehörden seit vielen Jahrzehnten wahre Meister darin, der „Spur des Geldes“ zu folgen, um Verbrecher dingfest zu machen. Daher auch der große Bedarf an kreativen Ideen zur Geldwäsche.

In diesem konkreten Fall wurde das Schutzgeld via BitCoins gezahlt. Aber auch Kryptowährungen sind nicht so anonym, wie viele meinen. Es ist zwar schwer, ein Konto/Wallet einem Benutzer zuzuweisen – aber Inhalte und Transaktionen sind für jeden öffentlich einseh- und nachvollziehbar. D.h. auch bei Kryptowährungen ist das Geldwaschen integraler Bestandteil des Geschäftsmodells. Und spätestens da befindet man sich wieder im Bereich der klassischen Kriminalität.

Nicht zahlen, sondern melden

Ich persönlich gehe davon aus, dass viele andere Unternehmen schon Opfer solcher Angriffe geworden sind – das ergibt sich zwangsläufig aus der Reife der Angriffe und Prozesse, aber auch aus unseren Untersuchungen des Untergrunds. In vielen Fällen wird aber einfach stillschweigend gezahlt. Ganz davon abgesehen, dass ich mir die Frage stelle, wie man solche Beträge buchhalterisch ausweist, bestärkt dies die Kriminellen. Daher bin ich dem E-Mail Provider dankbar, dass er diesen Fall jetzt in das Licht der Öffentlichkeit gezogen hat und allen klar macht, dass Bezahlen keine Lösung ist.

Wie auch bei der klassischen Schutzgelderpressung ist die Bezahlung für den Kriminellen nur das Zeichen, dass er sein Opfer „gebrochen“ hat und jetzt nur noch weiter den Druck zu erhöhen braucht. Man könnte auch Gewinnmaximierung dazu sagen…

Sollten Sie also Opfer einer solchen Attacke werden, sollten Sie dies Strafverfolgungsbehörden oder entsprechenden Meldestellen melden. Nur dann besteht die Chance, auch Informationen über ähnliche Fälle bei anderen Unternehmen zu bekommen – bzw. der Spur des Geldes (oder des Erpressers!) zu folgen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*