Seit dem Hackerangriff auf die Kärntner Landesregierung in der Vorwoche wird wieder viel über Cyberkriminalität gesprochen. Welche Arten von Hackerangriffen gibt es?
Da gibt es zahlreiche Möglichkeiten, angefangen von einfacher Schadsoftware, Ransomware, Spam und Phishing Mails, DDoS-Angriffe, Botnetze und vieles mehr. Dabei werden Computersysteme von den Hackern verschlüsselt und erst gegen Bezahlung von Lösegeld wieder freigegeben. Der neueste Schrei im Hacker-Universum ist allerdings »Ransomware as a service« (RaaS).  

Was ist »Ransomware as a Service«?
»Ransomware as a service« ist ein Geschäftsmodell, mit dem Ransomware-Entwickler ihre Schadsoftware-Varianten auf dieselbe Art vermieten, wie legitime Software-Entwickler ihre Softwareprodukte. Und das ist genau das, was die Hackergruppe BlackCat macht.  Sie verkaufen ihre Dienste bzw. ihre Schadsoftware mit allem, was dazu gehört. Sie unterstützen bei den Angriffen, helfen bei den Lösegeldforderungen, sie führen Verhandlungen mit den Opfern und helfen auch bei der Wiederherstellung der verschlüsselten Daten – natürlich erst nach Bezahlung des Lösegelds.

Das ist ein lukrativer Geschäftszweig. Das Gefährliche daran ist, dass somit eigentlich jeder einen Hackerangriff durchführen kann. 

Wie kommt man zu diesen Diensten. Es gibt ja keine Telefonnummer, die man einfach anruft? 
Es ist relativ einfach: Man kauft sich die benötigten Komponenten im »Darknet«. Wer »Ransomware as a service« nutzen möchte, meldet sich einfach bei einem RaaS-Portal an und erstellt dort ein Konto. Übliches Zahlungsmittel sind Bitcoin. Der Leistungsumfang variiert bei den verschiedenen Angeboten stark und ist häufig in den Stufen Bronze, Silber und Gold gestaffelt. Je nach gebuchter Leistung erhalten Kunden Zugang zu 24/7-Support, Communities, Dokumentation, Funktionsupdates und anderen Vorteilen, die auch bei legitimen »Software as a Service«-Produkten üblich sind. Besonders ausgefeilte RaaS-Produkte verfügen sogar über Dashboards (grafische Benutzeroberflächen), mit denen Abonnenten den Status von Infektionen, die Gesamtzahl der Zahlungen, die Anzahl der verschlüsselten Dateien und andere Informationen über ihre Ziele überblicken können. Das lassen sich die RaaS-Anbieter natürlich angemessen bezahlen. 

Die Kriminellen sehen sich als Geschäftsleute: So garantierten sie ihren Opfern, die sie personalisiert ansprechen, eine 100-prozentige Wiederherstellung ihrer Daten. Wollen die aber nicht bezahlen, wird stufenweise eskaliert: Übte die Verschlüsselung der Daten nicht genügend Druck aus, drohen die Angreifer mit Meldung an Datenschutzbehörden, dann veröffentlichten sie geklaute Informationen, schließlich folgen DDoS-Angriffe (Anm.: ein Dienst oder Server wird gezielt überlastet) auf die Opfer und deren Partner.

Was ist bei der Landesregierung passiert?
Ich vermute, dass es sich irgendwie durch das Öffnen einer verseuchten Nachricht oder durch das Öffnen einer Webseite abgespielt hat und sich die Hacker so Zugriff verschaffen konnten.

Ich glaube aber, dass die Hacker vor dem Angriff schon viel länger im Netz der Landesregierung waren. Eine Cyberattacke dauert laut einer Studie im Schnitt 23 Tage, manchmal sogar viel länger. Dabei schauen sich die Hacker das Netzwerk genauestens an, spionieren es aus und zu einem geeigneten Zeitpunkt schlagen sie zu.  Meist dann, wenn niemand mehr im Büro bzw. die IT-Abteilung nicht besetzt ist. So bleibt der Angriff lange Zeit unbemerkt und man hat Zeit, um Daten zu stehlen, abzusaugen und zu verschlüsseln. 

Wie konnte es eine HTL in Niederösterreich schaffen, den Hackerangriff abzuwehren, die Kärntner Landesregierung aber nicht?
a gibt es unterschiedliche Voraussetzungen. Eine Schule ist ganz anders aufgestellt als eine öffentliche Institution. Beim Land gibt es zahlreiche Dienste, die öffentlich erreichbar sind. Da gibt es wesentlich mehr Angriffsflächen als bei einer Schule.

Man muss aber auch ehrlich sagen, wenn eine Hackergruppe in ein System eindringen will, dann schaffen sie es früher oder später. Das hat sich in der Vergangenheit immer wieder gezeigt, siehe die Attacken auf Sony, die US-Pipelinebetreiber Colonial oder die US-Wahldatenbanken.

Die Security kann eigentlich immer nur reagieren. Sind die Hacker im Vorteil?
Die sind immer einen Schritt voraus. Ein Beispiel: Im Microsoft Exchange-Server gab es eine Sicherheitslücke höchster Warnstufe, von der 98 Prozent der Mailserver weltweit betroffen waren. Direkt nach Bekanntwerden der Lücke wurden großflächige Versuche beobachtet, verwundbare Exchange-Server aufzuspüren und zu kompromittieren. 

Durch Ausrufen der höchsten Warnstufe konnte der hohe Anteil verwundbarer Server von 98 Prozent nach zwei Wochen auf unter zehn Prozent gesenkt werden. 

Warum dauert es bei der Landesregierung so lange, das System wieder online zu bringen? 
Bei einem Privaten oder einem kleinen Unternehmen geht es recht einfach, wenn es Backups gibt. Man entfernt die Schadsoftware und spielt die Backups wieder ein. Das Problem beim Land ist, dass es dort viele Systeme gibt, die gescannt, bereinigt und wiederhergestellt werden müssen. Das ist eine sehr komplexe Angelegenheit. 

Wenn ein Computer gehackt und der Eigentümer erpresst wird: Können Sie einen solchen Rechner wieder freischalten?
Verschlüsselte Systeme können nur entschlüsselt werden, wenn der »Key« bekannt ist. Wenn saubere, nicht verschlüsselte Backups vorhanden sind, besteht eine gute Chance, mit sehr wenig Datenverlust die Systeme wieder herzustellen. Wichtig ist, auf keinen Fall auf die Lösegeldforderungen einzugehen.

Wie viel wird mit Ransomangriffen mittlerweile verdient?
Das ist ein Milliardengeschäft, es hat schon längst den weltweiten Drogen- und Menschenhandel überholt. Es ist lukrativer und vor allem für die Ausführenden sicherer.

Rasant gestiegen ist auch die Anzahl an Schadprogrammen. Eine Studie aus Deutschland zeigt, dass man in der Bundesrepublik im Jahr 2021 über 144 Millionen Schadprogrammvarianten entdeckt hat. Das ist gegenüber 2020 eine Steigerung von 22 Prozent. Man muss sich das vorstellen, pro Tag werden 394.000 Schadprogrammvarianten erstellt.

Also sind die Hackerangriffe und die Cyberkriminalität im Steigen? 
Das steigt alles brutal an. Das ist nicht einmal mehr ein exponentieller Anstieg, sondern schon eher eine Wand.

Hatten Sie schon viele Ransom-Einsätze?
Gott sei Dank nicht, nur einige wenige. Wir konnten die Systeme der betroffenen Kunden aber wieder vollständig herstellen. Wir setzte bei unseren Kunden auf mehrstufige Schutzmechanismen. Dazu haben wir für unsere Kunden verschiedene Backup- und Sicherheitspakete entwickelt.

Wie kann man sich vor solchen Angriffen schützen?
Investieren Sie in eine bewährte Antivirus-Software, legen Sie Sicherungen an und seien Sie vorsichtig, worauf Sie klicken. Damit haben Sie schon viel erreicht, um Ihr System und Ihre Daten vor Ransomware zu schützen. Für Firmenkunden empfiehlt sich ein mehrstufiges Sicherheitskonzept mit aktueller Hardware-Firewall, Virenschutzsoftware mit EDR (Endpoint Dedection & Response, Mehrfaktorauthentifizierung) usw. Der wirksamste Schutz sind aber die Mitarbeiter. Sind sie ausreichend für Gefahrensituationen geschult, fallen Sie auf die Ransomware-Kampagnen nicht hinein und die Angriffe laufen ins Leere. Spezielle Security-Awareness-Schulungen sensibilisieren dafür.

Gibt es einen 100-prozentigen Schutz?
Nein. Wie bereits erwähnt, sind die Hacker immer einen Schritt voraus. Aber speziell im Unternehmensumfeld kann man einiges an Sicherheitsvorkehrungen treffen, um es den Hackern so schwer wie möglich zu machen.

Wird in Österreich ausreichend in Cybersicherheit investiert?
Ich glaube, viele Firmen sorgen auch, nachdem sie gehackt wurden, nicht für die Zukunft vor. Leider hinken wir da um Jahre nach und sind zu passiv unterwegs.  Mitarbeiter-Schulungen zum Thema Cyber-Security werden teils gar nicht oder nur halbherzig gemacht. 

Dazu müsste in den Führungsebenen der Unternehmen ein Umdenken stattfinden. 

// Zur Person

Rene Schwaiger ist seit mehr als 30 Jahren in der IT-Branche. 2012 wurde die Schwaiger Business_IT gegründet (IT-Dienstleistungen für Firmenkunden). Seit Anfang dieses Jahres steckt die Firma mitten in der Fusion mit der Firma 2M-Connect aus Klagenfurt. Die daraus resultierende Conexo IT, Communication & Security GmbH, wird in Kürze alle Agenden der beiden Firmen übernehmen.