Hackback statt Cyberresilienz

Die Ransomware-Gruppe DarkSide, eine Gruppierung hochprofessioneller Cyberkrimineller, soll 100 Gigabyte an Daten vom Betreiber der Colonial Pipeline in den USA abgegriffen und danach dessen Systeme verschlüsselt haben. Der Angriff führte zur Stilllegung einer der wichtigsten Benzin-Pipelines, die sich über 5500 Meilen entlang der Ostküste zieht. Die US-Regierung reagierte daher mit der Ausrufung des regionalen Notstands.

Das könnte auch der Grund sein, weshalb sich die Täter mit einer Botschaft gemeldet haben, dass sie nicht politisch seien und nicht an der Geopolitik partizipieren möchten, da sie nur auf Geld aus seien. Probleme für die Gesellschaft wolle man nicht machen, daher würden sie die Ransomware-as-a-Service-­Partner überprüfen und nötigenfalls mit ihnen in einen Dialog treten. Das soll Konsequenzen für die Zivilgesellschaft durch die Verschlüsselung zukünftig vermeiden.

Eventuell ist das auch nur der – fast schon ethisch korrekt klingende – Versuch, wieder Ruhe in den Schwarzmarkt der Erpressungen zu bekommen, denn Colonial hat wohl nur fünf Millionen US-Dollar Lösegeld gezahlt, was in Anbetracht der Umstände eher als Schnäppchen zu bezeichnen ist. Raus­geschmissenes Geld war es trotzdem. Zwar tröpfelt das Benzin allmählich wieder aus den Zapfsäulen, das ist allerdings mehr dem schnellen Einspielen des Backups geschuldet als dem späten Eintreffen der Entschlüsselungssoftware.

Erpressungen und Cybercrime sind ein aufstrebender Markt. 2020 wurden beispielsweise die Technischen Werke Ludwigshafen (TWL) erpresst, ein kommunaler Versorger, der circa 100000 Haushalte mit Energie und Trinkwasser versorgt. Damals ging es sogar um 500 Gigabyte an Daten. Es gab auch erfolgreiche Angriffe auf die Trägergesellschaft Süd-West des Deutschen Roten Kreuzes und inzwischen kennt fast jeder den Ransomware-Fall, durch den die Uniklinik Düsseldorf lahm­gelegt wurde. Operationen mussten verschoben und Behandlungen abgesagt werden. Rettungswagen konnten die Klinik nicht mehr anfahren.

Cyberkriminelle wählen ihre Opfer immer gezielter aus, um die Wahrscheinlichkeit zu erhöhen, ein hohes Lösegeld fordern zu können und auch zu erhalten. Ziel ist immer, die Produktion lahmzulegen, damit genügend Zugzwang für die Bezahlung des Lösegeldes besteht.

Aber wie sieht die Zukunft aus? Mitarbeiter klicken weiterhin auf Links und Anhänge in E-Mails, denn dafür sind diese nun einmal da. Aber auch Fernwartungszugänge enthalten oftmals signifikante Sicherheitslücken und werden dann so lückenhaft weiterbetrieben.

Allmählich fragt man sich: Wie schützt der Staat unsere kritische Infrastruktur? Die Sicherheitsbehörden und das BMI fordern weiterhin Staatstrojaner und mehr Befugnisse, um im Hackback – also mit invasiven Eingriffen in fremde Computersysteme – das offensive Heilsversprechen der Gefahrenabwehr zu finden. Dabei wäre es besser, die Defensive zu fördern und dadurch die Cyberresilienz gegen solche Angriffe zu stärken. Gleichzeitig wird mit dem frisch verabschiedeten IT-Sicherheitsgesetz 2.0 (siehe Seite 26) ein wirkungsloses Bürokratiemonster geschaffen, mit dem kritische Infrastrukturen sich zu Tode verwalten, statt echte Sicherheit zu implementieren.

Mein Vorratskeller jedenfalls ist gemäß der Checkliste für Notfälle des BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe) gefüllt und ich richte mich auf Eigenvorsorge ein. Denn „Cyberwinter is coming“ und wir sind auf uns allein gestellt ...

Manuel Atug

ist Head of Business Development bei der HiSolutions AG mit den Schwerpunkten Informationssicherheit und kritische Infrastrukturen. Er gehört außerdem zu den prägenden Beratern des BSI für KRITIS und § 8a BSIG.