Ransomware-Akteure, die Freibeuter der Moderne

Kommentar von Richard Werner, Business Consultant

Die Möglichkeit, schnell zu Reichtum zu gelangen und trotz bescheidener Herkunft ein Hauptdarsteller auf der politischen Bühne zu werden — im 16. und 17. Jahrhundert war dies für so genannte Freibeuter möglich. Alles, was man dafür brauchte, war Skrupellosigkeit, Talent zur Navigation und geschicktes Vorgehen, um seine Opfer zu finden, zu täuschen, zu erpressen und natürlich auszurauben. Und die Freibeuter hatten noch etwas, dass sie aus dem Kreis gewöhnlicher Verbrecher hervorhob. Sie hatten Rückendeckung durch ihre Nation, denn ihre Kaperei war vor allem gegen den feindlichen Seehandel gerichtet. Sie sorgten zum Wohl ihrer Nation für eine „gerechtere Umverteilung“ von Reichtümern, weshalb sie eben nicht als Piraten galten, sondern bis heute verehrte Helden waren, die in „sicheren Häfen“ ihre Schiffe mit modernster Technologie und mit „Personal“ ausstatten konnten. Die Geschichte der Freibeuterei ist die einer 600 Jahre andauernden Idee für eine unorthodoxe Kriegsführung, die so erfolgreich war, dass sie schließlich von allen damaligen Supermächten vertraglich geächtet wurde. Übrigens, die USA gehören zu den wenigen Ländern, die zumindest laut Verfassung, auch heute noch die Ausstellung von Kaperbriefen an Privatpersonen als legitimes Mittel der Seekriegsführung gestatten.

In der Moderne

Die Parallelen zur modernen Welt sind unschwer erkennbar. Waren früherer Tatorte noch kaum bekannte oder erforschte Ozeane und vor allem eine durch Staaten nicht kontrollierbare, und damit gesetzlose Welt, so haben wir heute das Internet, ein rechtsfreier Raum, der durch Verschlüsselungsmethoden seinen Protagonisten eine Form der Anonymisierung bietet, vergleichbar mit der einstiger Piraten, die sich an Kaufleute heranmachten und erst im letzten Moment ihre Flagge hissten. Berüchtigte Piraten nutzten dabei eigene Erkennungsflaggen, so dass potenzielle Opfer sofort wussten, mit wem sie es zu tun bekamen.

Auch moderne Täter geben sich klangvolle Namen und sorgen dafür, diese auch medienwirksam zu platzieren (Beispiele hierfür sind REvil, Emotet oder Darkside). Die Vorgehensweise ist immer gleich, man versucht, die Opfer einzuschüchtern und anfälliger für Erpressungen zu machen sowie sich als „glaubwürdiger“ Bösewicht darzustellen, den man besser nicht herausfordert. Übrigens verfolgte bereits der berühmte Freibeuter Sir Francis Drake diese Taktik, der seinen Feinden Milde versprach, so sie seinen Forderungen ohne Kampf nachkamen.

Gold – pardon Daten – locken

Das 16. und 17. Jahrhundert gilt als das „Goldene Zeitalter“ der Freibeuterei. Dabei ist der Ausdruck wörtlich zu nehmen, denn Gold bzw. andere Edelmetalle waren die Beute. Große Mengen davon wurden damals in Amerika entdeckt und per Schiff nach Europa gebracht. Anders als andere Handelswaren verbrauchten sie wenig Platz. Das Gold im Mittelalter war eine Währung, die überall ohne besonderer Kontrolle gehandelt werden konnte – ob in Spanien gestohlen und in England ausgegeben, sie hatte überall denselben Wert, keine Umrechnung, keine Gebühr, keine Nachweispflicht der Herkunft.

Das Gold der Moderne sind Daten. Sie stellen einen Wert dar, der schnell gestohlen und praktisch überall eingesetzt werden kann. Für das Opfer bedeutet ihre Verschlüsselung oder auch nur der bekannt gewordene Diebstahl ein Problem, welches mancher durch Zahlung von Lösegeld abzumildern versucht. Hier ist nicht mehr ein Edelmetall die globale Währung sondern Kryptowährungen. Sie unterliegen keiner Kontrolle durch eine Bank oder anders geartete staatliche Aufsicht. Sie machen es den modernen Freibeutern leicht, riesige Summen zu erpressen und die Gelder so schnell zu waschen, dass Ermittlern die Zusammenhänge oft zu spät bekannt werden.

Umschlagplätze

Und last but not least, geht es um den für die Freibeuter von einst entscheidend wichtigen „sicheren Hafen“. Das Ausstellen von Kaperbriefen garantierte die legale Plünderung des Eigentums anderer. Plünderte man im Auftrag Ihrer Majestät konnte man sogar im eigenen Land Ruhm und Ehre ernten, war vor ausländischer Strafverfolgung sicher und konnte seinen erworbenen Reichtum genießen. Problematisch wurde es nur, überfiel man den einstigen Feind nach Friedensschluss oder irrtümlicherweise ein Schiff des Heimatlandes. Das konnte bei den damaligen Kommunikationsmitteln schon mal passieren.

Kommen einem da nicht die jüngsten Erfolge im Rahmen der REvil-Ermittlung in den Sinn? Es scheint tatsächlich gelungen zu sein, einen der Haupttäter zu identifizieren. Aber das bedeutet nicht, dass man ihn auch strafrechtlich belangen kann. Der Verdächtige Nikolay K. wird in Russland vermutet. Dummerweise ist die mit ihm in Verbindung gebrachte Software so programmiert, dass sie nicht funktioniert, wenn sie im russischen Sprachraum eingesetzt wird (Sie überprüft installierte Sprachpakete). Also wurden die Verbrechen sicher nicht im Rechtsgebiet begangen, in dem er sich gerade aufhält. Die Frage ist nun, ob das Land den Verdächtigen ausliefern wird.

Ein Zusammenhang zwischen Russland und Cyberangriffen ist deutlich sichtbar. Allerdings bleibt die Frage ungeklärt, inwiefern der Staat tatsächlich aktiv „Kaperbriefe“ ausstellt oder nur passiv seine Häfen für Piraten offenhält. Für die Kaufleute deren „Online-Schiffe“ angegriffen werden, mag diese Antwort unwichtig erscheinen. Sie erhält aber Bedeutung, wenn wir über eine Lösung der Problematik sprechen. Und dies ist kein Einzelfall und Russland nicht das einzige Land, welches Wirtschaftskriminelle, die eine Straftat im Ausland begangen haben, nicht verfolgt.

Das Ende der historischen Freibeuterei

Nach Francis Drake & Co passierte das, was jedes erfolgreiche Unternehmen erreicht: Nachahmer. Im amerikanischen Unabhängigkeitskrieg vernichteten Freibeuter bis zu 13% der britischen Handelsflotte und Bukaniere, Korsaren und andere Piraten mit oder ohne Lizenz gefährdeten alle Handelsrouten weltweit. Kaufleute bewaffneten sich und räumten unter dem Vorwand, sich selbst zu schützen, auch mal den einen oder anderen Konkurrenten aus dem Weg. Das Chaos wurde so groß, dass die Freibeuterei schließlich mit der Pariser Seerechtdeklaration von 1856 geächtet wurde.

Bedeutet dies nun Hoffnung oder noch größere Probleme für die moderne Form der Freibeuterei? Der amerikanische Präsident Joe Biden sprach in einer Reaktion auf den Colonial Pipeline-Angriff davon, die Täter seien in Russland zu finden, seien aber nicht staatlich gefördert. Dennoch machte er deutlich, dass Staaten mehr dafür tun müssten, gegen solche Verbrecher vorzugehen. Die US-Regierung hatte hierzu im Oktober eine Konferenz von 30 Ländern einberufen, um diese Vorgehensweisen zu debattieren. Bezeichnenderweise war Russland nicht eingeladen.

Es wäre falsch, Täter nur in einem Land zu suchen, denn Kriminalität ist immer global. Ermittlungserfolge der Polizei gab es z.B. in der Ukraine (Emotet) und in Deutschland (Cyber Bunker). Darüber hinaus stehen auch Länder auf der Liste der Verdächtigen, denen offen Freibeuterei vorgeworfen wird. So wird vermutet, dass die „Lazarus Gruppe“ für Nordkorea Devisen beschafft – durch Cyberkriminalität. Bei China geht man von Wirtschaftsspionage aus. Russland (wieder) werden staatliche Spionageangriffe vorgeworfen. Ähnlich wie bei der Freibeuterei des 16./17. Jahrhunderts tun sich auch hier die betroffenen Länder schwer damit umzugehen. Jedenfalls ziehen Handelssanktionen  nicht mehr wirklich, und daher macht man also das, was auch die Spanier einst taten. Man schreibt Steckbriefe für bekannte Protagonisten. Ob das die dahinterstehenden Länder beeindruckt? Bisher zumindest nicht.

Sollten sich die modernen Handelsfahrer ebenfalls mit Offensivwaffen ausrüsten? Im Fachjargon heißt das Hack-Back. Die Theorie ist einfach. Man identifiziert, woher der Cyberangriff kommt, und anschließend wird diese Quelle durch eigene offensive Maßnahmen ausgeschaltet. Ein modernes Seegefecht also, dessen Breitseiten DDoS (Distributed Denial of Service)-Attacken sind und deren Kaperaktionen aus Zugangsdaten zu Netzwerken bestehen. Wie auch schon zu Drakes Zeiten wäre es ein Gefecht, in dem der Stärkere gewinnt. Doch schon zur Zeit der Freibeuterei verwischten sich immer mehr die Grenzen zwischen Tätern und Opfern. Jeder war bewaffnet und jeder griff an. Auch bei Hack Backs geht es darum, offensiv vorzugehen und zurückzuschlagen. Wir sind damit auf dem besten Wege, dieses Chaos zu wiederholen. Schlimmer noch, es könnte gesteuerte „Gegenschläge“ geben. Sabotageaktionen könnten dadurch durchgeführt werden, dass man den Angriff eines Unternehmens vortäuscht und die eigentliche Tat den Hack Backern überlässt oder sogar einen Hack Back inszeniert. Die Frage ist dann, auf wen eigentlich zurückgeschossen wird.

Blick in die Zukunft: Optimismus oder Pessimismus

Optimisten sind der Ansicht, dass es gelingen wird, Russland und China davon zu überzeugen, diese Taten international zu ächten und damit auch kleineren Ländern wie Nordkorea eine deutliche Warnung zukommen zu lassen – also die Pariser Seerechtsdeklaration der Neuzeit. In diesem Fall hätten wir es nur noch mit gewöhnlichen Piraten zu tun, die wir identifizieren und hinter Gitter bringen müssten. So hat das damals in der guten alten Zeit funktioniert!

Pessimisten wiederum fragen sich, warum Länder, die sich ohnehin in einem Handelskrieg befinden und wirtschaftliche Vorteile haben, von dieser für sie einträglichen Form der Freibeuterei ablassen sollten. Die eigentliche Motivation hinter der Seerechtsdeklaration war nicht das gemeinsame Bewusstsein für die gute Sache, sondern die schlichte Tatsache, dass jeder darunter litt. Solange es in dieser Situation also klare Gewinner (wie einst England) und klare Verlierer (wie einst Spanien) gibt, werden auch moderne Kaperer weiter ihr Unwesen treiben. Die Tatsache, dass darüber diskutiert wird (auch in der Bundesrepublik), die technisch/organisatorischen Möglichkeiten zu schaffen, offensiv vorzugehen (Bundestrojaner) oder gegebenenfalls Hack-Backs zu koordinieren, zeigt, dass man sich eher darauf vorbereitet, mit gleichen Mitteln zurück zu schlagen.

Den Handelsfahrern da draußen bleibt dann nur eines … sich auf harte Zeiten vorzubereiten, dafür zu sorgen, dass sie in der Lage sind, den Feind rechtzeitig zu erspähen (Detection) und sofortige Gegenmaßnahmen zu ergreifen (Response), um ihm zu entkommen. Dafür aber muss ihre gesamte Umgebung schnell zu steuern sein und nicht allzu schwerfällig vor sich „hindümpeln“. Auch benötigen die heutigen Handelsfahrer eine eingespielte Mannschaft, die nicht in Panik verfällt, sondern die richtigen Handgriffe kennt.

Moderne Verteidigungsmaßnahmen, wie XDR – übergreifendes Detection & Response, unterstützen Sie dabei.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.