Bitcoins ungeliebte Killerapp wächst ungehindert weiter
Grafik vom Cover des BSI-Berichts.
Das Bundesamt für Sicherheit und Informationstechnik (BSI) veröffentlicht einen Lagebericht zur IT-Sicherheit in Deutschland. Ransomware taucht darin mehr als ein Mal auf. Zeit für ein Update zur unbeliebtesten Killer-App von Bitcoin. Gefährdet die erpresserische Malware die Legitimität von Kryptowährungen?
Vor kurzem hat das Bundesamt für Sicherheit und Informationstechnik (BSI) den Lagebericht zur IT-Sicherheit in Deutschland 2021 veröffentlicht.
Der Bericht umreisst auf 100 Seiten die „Gefährungslage der IT-Sicherheit in Deutschland“, mit einem Fokus auf „Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen.“ Das Wort „Ransomware“ kommt auf diesen 100 Seiten 79 Mal vor. Das deutet auf einem große Bedeutung dieser „Erpresser-Software“ unter den Gefahrenquellen aus dem Cyberspace hin.
Ransomware ist wirklich kein neues Phänomen. „Schadprogramme, die etwa durch Verschlüsselung den Zugang zu Daten oder Systemen einschränken, damit der Angreifer anschließend ein Lösegeld erpressen kann“ gab es schon vor Bitcoin. Aber erst seit es etwa 2013 zur Sitte wurde, Bitcoins für Zahlungen zu verlangen, wurde das „Geschäftsmodell Ransomware“ zu DER Erfolgsgeschichte des internationalen Cybercrimes – und das ungebrochen seit etwa acht Jahren.
Warum Bitcoin? Warum wurde die Kryptowährung zum Meilenstein für Ransomware?
Bitcoins sind nicht anonym. Die digitalen Münzen sind hochgradig transparent. Wie eine Schnecke ihre Schleimspur hinterlässt jede Transaktion eine überdeutliche Spur auf der Blockchain. Experten wie der ehemalige CIA-General … sagen deswegen, dass Bitcoin für Kriminelle das schlechteste denkbare Zahlungsmittel ist.
Allerdings sind Bitcoins für eines sehr gut geeignet: Um anonym Geld zu empfangen. Jeder kann eine Adresse generieren, um Geld zu bekommen. Dafür braucht man keinen Ausweis, kein Bankkonto, keine Telefonnummer, nicht mal eine E-Mail-Adresse. Darüber hinaus sind Bitcoins, für die man den privaten Schlüssel besitzt, uneinfrierbar, und eingehende Transaktionen unzensierbar. Mit diesen Eigenschaften beflügelte Bitcoin die Ransomware – die daraufhin eine „Killer-Apps“ von Bitcoin wurden, über die die Szene lieber nicht reden mag.
Genau genommen birgt Ransomware eine ordentliche Gefahr für Bitcoin. In den USA gibt es Tendenzen, Erpressungen im großen Stil, etwa gegen eine prominente Anwaltskanzlei, als Cyberterrorismus zu werten. Ransomware könnte der Grund – oder Vorwand – werden, weshalb Kryptowährungen (noch) strenger reguliert und womöglich auch verboten werden.
Alle Register der mafiösen Schutzgelderpressung
Der BSI-Bericht zeigt, wie sich die Situation rund um Ransomware in Deutschland von Juni 2020 bis Mai 2021 weiter entwickelt hat. Er ist hervorragend geeignet, um eine Momentaufnahme über dieses aufstrebende „Gewerbe“ zu erhalten – und über den Schaden, den es anrichtet.
Einige Trends springen förmlich ins Auge. So wird die Branche durch ein Umdenken unter den Opfern herausgefordert. Immer häufiger stehen die Betroffenen dank eines Backups dem Angriff gelassener gegenüber oder folgen den Empfehlungen von Behörden, kein Schutzgeld zu bezahlen.
Die Hacker reagieren darauf mit zwei Taktiken: Auf der einen Seite verschlüsseln sie die Daten nicht nur, sondern entwenden sie auch. So können sie ihre Position mit der Drohung von Datenleaks verbessern. Darüber hinaus drohen sie auch mit DDoS-Angriffen, um das Opfer zur Zahlung des Lösegeldes zu bewegen. Wenn beispielsweise, so das BSI, „ein Online-Versandhändler aufgrund eines Ransomware-Angriffs gezwungen wäre, auf eine weniger gegen DDoS-Angriffe widerstandsfähige Web-Präsenz auszuweichen, würde ein solcher DDoS-Angriff die Bewältigung des Ransomware-Angriffs noch zusätzlich erschweren.“
Damit also nähert sich die Ransomware der multidisziplinären mafiösen Schutzgelderpressung an. Jedes Mittel ist recht, wenn es Druck aufbaut.
Die Ransomware als Finale der Großwildjagd
Ein zweiter Trend bei Ransomware ist eine innere Professionalisierung. Darüber haben schon andere Berichte geschrieben, etwa über die Arbeitsteilung zwischen Software-Entwicklern, -Distributoren und Geldwäschern.
Das BSI fügt dem die Mehrstufigkeit der Angriffe hinzu. Anstatt die Malware wie ein Schleppnetz durch den Ozean der IT-Systeme zu ziehen, orientieren sich die Hacker immer mehr an „APT-Spionage-Angriffen.“ Dies sind aufwändige, komplexe, professionelle und zielgerichtete – sozusagen handgearbeitete – Angriffe auf Behörden und Unternehmen. Sie konzentrieren sich auf ein Ziel, arbeiten dann, teilweise über Monate hin, Schwachstellen heraus, und nutzen diese dann mit allen Mitteln der Kunst aus. Solche Angriffe stehen im Verdacht, durch die üblichen Schurkenstaaten finanziert oder befördert zu werden: China, Russland, Iran und Nordkorea.
Bei Ransomware funktioniert dies beispielsweise so: Erst nistet sich der Trojaner Emotet in Outlook ein. Dort analysiert er den E-Mail-Verkehr des Opfers, um „besonders authentisch wirkende Social-Engineering-Angriffe auf Kontakte des Opfers“ zu fahren. Danach öffnet Emotet den Download, damit die Hacker die Spionage-Malware Trickbot aufspielen können. Diese durchforscht nun das gesamte System und, wenn möglich, auch Netzwerk. Erst im letzten Schritt – und nur, wenn es sich lohnt – laden die Hacker die Ransomware Ryuk hoch. Diese verschlüsselt dann die Daten.
Die Ransomware wird damit zum Finale einer von langer Hand orchestrierten Übernahme von Computersystemen.
Dabei zielen die Hacker zunehmend auf finanzstarke Opfer. Das BSI nennt das „Big Game Hunting“, zu deutsch: Großwildjagd. Dieser Trend existiert schon eine Weile und äußert sich in zunehmend bekannten und großen Opfern, von schwedischen Supermärkten bis zu italienischen Energieversorgern.
Jede Woche ein neues öffentliches Opfer
Die Schäden durch Ransomware sind schwer abzuschätzen. Es zeichnet sich aber ab, dass sie enorm sein müssen.
Laut dem Präsidenten des BSI, Arne Schönbohm, werde jede Woche die IT von mindestens einer deutschen Stadtverwaltung oder Kreisbehörde durch Ransomware lahmgelegt. Wenn es in der deutschen Verwaltung knirscht, kann das immer öfter auch an Ransomware liegen.
Wie viel Lösegeld deutsche Unternehmen und Institutionen je Jahr bezahlen, verschweigt das BSI. Falls es diese Information überhaupt kennt. Tatsache ist aber, dass das Lösegeld nur ein Teil der Schäden ist, die Ransomware anrichtet – und vermutlich noch nicht einmal der größte.
„Von der Entdeckung einer Infektion bis zur Bereinigung der Systeme und vollständigen Wiederherstellung der Arbeitsfähigkeit vergehen in der Regel durchschnittlich 23 Tage […] An diese unmittelbare Wirkung schließen sich in der Regel Folgekosten an, die sich bei der Bewältigung des Angriffs ergeben.“
Im Durschnitt dauert es also gut drei Wochen, bis die Systeme wieder vollständig intakt sind. Das kann, etwa bei einem Online-Shop, bereits an die Substanz gehen. Wenn dann noch ein Reputationsschaden durch die Veröffentlichung von Daten dazukommt, können „die Schäden eines Ransomware-Angriffs für eine betroffene Organisation existenzbedrohend sein“, erklärt das BSI.
Aber nicht nur die Aufarbeitung eines Angriffs verschlingt Ressourcen – auch dessen Vermeidung. So empfiehlt das BSI umfangreiche Maßnahmen: Unternehmen sollten ein Backup pflegen, und zwar eines, das komplett offline ist und regelmäßig auf seine Rekonstruierbarkeit überprüft wird. Auch die Datentransfers der Netzwerke sollte man genau beobachten, um den Diebstahl von Daten zu verhindern oder frühzeitig zu erkennen. Schwachstellen, wie Verbindungen nach außen, sollten minimiert, Betriebssysteme und Programme regelmäßig und zeitnah aktualisiert, die Netzwerke intern segmentiert werden. Mitarbeiter sind „umfassend und kontinuierlich“ zu schulen, der Zugang zu Admin-Ebenen konsequenz zu begrenzen.
Mit Sicherheit sind solche Maßnahmen sinnvoll. Sie können Angriffe nicht vollständig verhindern, aber deutlich unwahrscheinlicher machen. Doch sie sind teuer. Sie verlangen eine fast ständige Betreuung der IT-Systeme, sie fordern Zeit aller Mitarbeiter, und sie verlangsamen Prozesse, etwa wenn Datentransfers blockiert sind. Sie streuen Sand ins Getriebe.
Ransomware wird, so gesehen, nicht allein zu einem lukrativen Geschäftsmodell im Cybercrime mit geringem Risiko – sondern auch zu einer globalen Sabotage von Wirtschaft und Staatswesen. Ob sie tatsächlich schon einen Einfluss auf das globale Wirtschaftswachstum bzw. dessen Mangel haben, ist dabei aber eher spekulativ.
Eine Bedrohung für die Demokratie?
Mehr und mehr sorgt sich das BSI, dass Ransomware und andere Malware nicht nur Unternehmen angreift, sondern die öffentliche Sicherheit bedroht. Die Zeichen dafür sind bereits da:
„Eine neue Gefährdungslage trat im vergangenen Jahr durch Vorfälle ein, bei denen Cyber-Kriminelle oder staatliche Akteure gezielt Firmen und Behörden aus dem Gesundheitsbereich angriffen. Anders als noch zu Beginn der Pandemie beobachtete das BSI im aktuellen Berichtszeitraum gezielte IT-Angriffe mit Bezug zu COVID-19 auf Schlüsselbereiche des Gesundheitssektors. Hierzu zählen beispielsweise der Angriff auf die Europäische Arzneimittelagentur (EMA), Angriffe auf ausländische Impfstoff-hersteller, ein DDoS-Angriff auf das COVID-19-Impfportal des Bundeslandes Thüringen und ein Ransomware-Angriff auf einen deutschen Hersteller von COVID-19-Antigentests.“
Ein prominenter Fall ist auch ein Angriff auf ein Universitätsklinikum in NRW, das wegen eines Ransomware-Vorfalls vorübergehend Systemausfälle hinnehmen musste und für 13 Tage keine neuen Intensiv-Patienten aufnehmen konnte. Eventuell handelte es sich dabei um das Klinikum Düsseldorf. Betroffen war auch der Flughafen Saarbrücken, dessen IT-Systeme im Zuge eines Angriffs vor knapp einem Jahr für einige Zeit ausfielen.
Ransomware könnte, mutmaßt das BSI, auch zu einer Bedrohung für die Demokratie werden, wenn sie das Wahlumfeld angreifen. So könne „ein Ransomware-Angriff gegen eine Stadt- oder Kreisverwaltung dafür sorgen, dass es zu Verzögerungen bei der Durchführung oder Auszählung der Wahl kommt, wenn beispielsweise E-Mail-Kommunikation aufgrund des Angriffs nicht verfügbar ist.“ Dies könnte das Vertrauen in die Wahlprozesse beschädigen, Teil einer Manipulation werden und die Einfühung von elektronischen Wahlsystemen erschweren oder unmöglich machen.
Entdecke mehr von BitcoinBlog.de - das Blog für Bitcoin und andere virtuelle Währungen
Melde dich für ein Abonnement an, um die neuesten Beiträge per E-Mail zu erhalten.
Die Frage ist, würde Cybercrime/Ransomware etc. ohne Bitcoin nicht genau so wachsen?
Spätestens wenn der Kleiman/CSW/Satoshi Präzedenzfall abgeschlossen ist und der Eigentümer seine Bitcoin auf gesetzlicher Basis wiederherstellen kann, wird es keinen Anreiz mehr für Ransomware geben auf Bitcoin zu setzen. Früher oder Später wird es für solche Fälle auch einen Killswitch geben, die gestohlenen Coins einfrieren.
Cybercrime und Ransomeware gibt es allein aufgrund der technischen Möglichkeiten dazu. Je mehr Daten zentral gehalten werden – und aufgrund unsere manischen Digitalisierungserneuerungswut werden das immer mehr – desto mehr lohnende Angriffe gibt es. Die Daten via Ransomware direkt in Geld zu wandeln ist dabei nur eines der möglichen Umsetzungen und die sichtbare Spitze eines riesigen Eisbergs.
Würde sogar sagen, dass die intelligenteren Angreifer die Daten schon seit Jahren (oder Jahrzenten) eher unsichtbar taktisch einsetzen. Man muss den Ransomwareangreifern fast dankbar sein, dass sie dieses Problem nun unignorierbar deutlich machen.
Bei jedem Digitalisierungvorschlag muss man in Zukunft mitdenken, dass große Datenpools attraktive Ziele sind. Das wird zwar einiges in der Digitalisierung verlangsamen, aber auch deutlich robuster gegen Angriffe machen.
Bitcoin ist da nur ein vorläufig dankbar angenommener Ersatzschuldiger den man präsentieren kann, um Menschen dieses riesige Sicherheitsversäumnis zu erklären.
Eher kann man dafür – wie man ein technisches System unangreifbar gestaltet – einiges von Bitcoin lernen.
Ja, wichtige Punkte.
Ich denke aber auch, dass es vor Bitcoin erheblich schwerer war, Schadsoftware in Geld zu verwandeln, weshalb die Motivation, welche zu schreiben, geringer war.
Andererseits – man stelle sich vor, die Hacker, die die Systeme hacken, würden aus Mangel an Alternativen einfach nur destruktiv vorgehen (oder die Daten an Kriminelle, Schurkenstaaten, Geheimdienste etc. verscherbeln) – oder die ganzen Netzwerke blieben still angreifbar … auch nicht zwingend besser. Aber ich denke, der Schaden überwiegt dennoch deutlich.
Was ist für dich der Schaden? Aus Versicherungsperspektive ist der Price Tag extrem schwierig auszurechnen. Es gibt mittlerweile ein paar Cyber Modelle auf dem Markt. Einfach mal diese studieren. Und der Schaden durch die Zahlung bei Erpressung ist natürlich nur ein ganz kleiner Teil. Zumindest insbesondere bei Firmen. Wenn man die Einzelperson anschaut ist es natürlich etwas anderes. Ich schätze Bitcoin spielt eher da eine Rolle.
Gibt auch Aspekte die selten betrachtet werden wie zB: https://krebsonsecurity.com/2021/09/gift-card-gang-extracts-cash-from-100k-inboxes-daily/
Die Seite ist übrigens allgemein interessant, siehe zB: https://krebsonsecurity.com/2021/10/how-coinbase-phishers-steal-one-time-passwords/