Cyberkriminalität

Pandemie des Verbrechens

Erpressung im Internet erreicht einen neuen Höchststand. Selbst Kliniken sind vor Hackerangriffen nicht sicher. Experten machen auch die Regierung verantwortlich.

02.03.2021

Von IGOR STEINLE

Foto: ©solarseven/Shutterstock.com

Foto: ©solarseven/Shutterstock.com

Berlin. Dass er mal Lösegeld-Verhandlungen führen würde, hätte Sebastian Schreiber früher nicht gedacht. „Hätten Sie mich das vor zehn Jahren gefragt, hätte ich gesagt, Sie spinnen“, so der IT-Sicherheitsunternehmer. Inzwischen aber erreicht ihn jeden zweiten Tag eine Anfrage von Unternehmen, deren Computersystem von Hackern übernommen wurde und die nun erpresst werden.

In vier Fällen hat Schreiber bisher aktiv verhandelt, in über 30 war er involviert. Das übliche Prozedere: Daten auf angegriffenen Rechnern werden verschlüsselt, bis die Opfer Bitcoin für die Entschlüsselung überweisen. Oft werden auch sensible Daten erbeutet, Geschäftsgeheimnisse etwa, verbunden mit der Drohung, diese zu veröffentlichen. Sicher scheint vor der Kriminalitätswelle niemand zu sein: „Kleine Firmen sind genauso betroffen wie Mittelständler und große Unternehmen“, so Schreiber.

Das zeigen auch die jüngsten Zahlen des Bundeskriminalamts (BKA). Egal ob Daten-Diebstahl, betrügerische Fake-Webseiten oder Schadsoftware: 2020 registrierte das BKA für das Vorjahr mit gut 100 000 Taten einen Anstieg von 15 Prozent – ein neuer Höchststand. Die Schäden stiegen mit 88 Millionen Euro sogar um 43 Prozent. Eine Zahl, die angesichts einer großen Dunkelziffer wahrscheinlich noch zu niedrig ist. Wegen Sorgen vor Reputationsverlust und Datenschutzstrafen melden viele Unternehmen Hackerangriffe nicht. Der Branchenverband Bitkom schätzt den Schaden durch Cyberangriffe deswegen um ein Vielfaches höher.

Die wenigen prominenten Fälle, die öffentlich wurden, betrafen in Deutschland bisher unter anderem Fresenius, Rheinmetall oder die Zeitungen der Funke Mediengruppe. Die in dem Verlag erscheinenden Tageszeitungen konnten lange nicht in vollem Umfang erscheinen. Wie hoch die Lösegeldforderungen oder -zahlungen waren ist nicht bekannt. IT-Unternehmer Schreiber berichtet von 3000 Euro im privaten Bereich bis zu acht Millionen bei Großunternehmen.

Noch gravierendere Schäden als finanzielle Verluste hätte dabei ein Hackerangriff im Februar auf die Trinkwasserversorgung im US-Bundesstaat Florida haben können. Unbekannte sind in das Computersystem eines Wasserwerks eingedrungen und haben das Wasser chemisch manipuliert. Mitarbeiter hatten die Änderung laut Betreiber aber sofort bemerkt und rückgängig gemacht.

Der Vorfall zeigt, wie ernst die Lage ist. Mit einer Beruhigung der Situation ist dabei vorerst nicht zu rechnen. Denn während die Corona-Pandemie die Welt nach wie vor im Griff hat, beobachtet die internationale Polizei-Organisation Interpol eine „Parallel-Pandemie des Verbrechens“. So würden Cyberkriminelle über schlecht abgesicherte private Computer der im Homeoffice Arbeitenden vermehrt in Firmennetze eindringen. Der Sicherheitssoftware-Hersteller Kaspersky etwa rechnet mit einen Anstieg digitaler Verbrechen um 25 Prozent. Besonders perfide seien dabei, so Gründer Eugene Kaspersky, Cyber-Angriffe auf Gesundheitseinrichtungen wie etwa auf die Düsseldorfer Uni-Klinik im vergangenen September, bei dem ein Mensch gestorben ist, weil er nicht eingeliefert werden konnte. „Solche Attacken auf Krankenhäuser, dazu noch in Corona-Zeiten, sind für mich Terrorismus, und genauso entschlossen müssten sie bekämpft werden“, so der IT-Experte

Innenminister Horst Seehofer (CSU) hat den Ball bereits aufgenommen und arbeitet seit Jahren an einem „IT-Sicherheitsgesetz 2.0“. Kritische Infrastrukturen wie Strom- und Wasserversorgung, das 5G- Netz und die Sicherheitsbehörden sollen damit gestärkt werden. Soweit die Theorie. Was die Praxis angeht, hagelt es an dem Gesetzesentwurf Kritik von allen Seiten. So durften am Montag von allen Fraktionen berufene Experten im Bundestag ihre Einschätzung abgeben. Die Anhörung geriet zur Ohrfeige für die IT-Sicherheitspolitik der Bundesregierung. Selbst von den Regierungsfraktionen berufenen Experten schimpften das geplante Gesetz ein „Anti-Sicherheitsgesetz“.

Der Branchenverband Bitkom etwa kritisiert unklare Formulierungen und sieht Unternehmen künftig größerer Bürokratie ausgesetzt. Der Entwurf sei überarbeitungswürdig und „nur bedingt geglückt“, so Bitkom-Experte Sebastian Artz. Noch deutlicher wurde Manuel Atug von der AG Kritis, einem Zusammenschluss von 40 Experten, die sich mit kritischen Infrastrukturen auseinandersetzen. Er spricht von einem von „fachfremden Personen mit der heißen Nadel gestrickten Entwurf“. Behörden würden die IT-Sicherheit bewusst schwächen, indem sie ihnen bekannte Sicherheitslücken für Überwachungszwecke offen lassen. Solche Lücken würden aber auch Hacker früher oder später aufspüren, weswegen sie umgehend geschlossen werden müssten.

Linus Neumann vom Chaos Computer Club zeichnete zusammenfassend ein verheerendes Bild der IT-Sicherheit in Deutschland, die „ein einziges Desaster“ sei: Private Kundendaten würden laufend im Internet landen, Erpressungssoftware grassiert seit Jahren, unsichere Produkte ohne Updates seien frei verkäuflich und niemand tue etwas dagegen. Stattdessen würde bekanntes Wissen für mehr IT-Sicherheit nicht umgesetzt. Behalten die Kritiker Recht, haben Sicherheitsunternehmer wie Sebastian Schreiber also auch in Zukunft jede Menge zu tun.