Eine Hackergruppe, mutmaßlich aus Russland, hat einen der bisher größten Erpressungsangriffe auf Computernetzwerke weltweit ausgeführt. Auch in Deutschland wurden Daten auf mehr als tausend Computern verschlüsselt. Das genaue Ausmaß des Schadens ist noch immer unklar. Die Rede ist von 800 bis 1500 betroffenen Unternehmen weltweit. Die Angreifer haben mittlerweile angeboten, für die Summe von bis zu 70 Millionen Dollar einen Generalschlüssel zur Freigabe der Daten zu liefern, nachdem zunächst Opfer einzeln zu Zahlungen aufgefordert worden waren. Antworten auf die wichtigsten Fragen.
Wie konnten die Hacker die Sicherheitssysteme überlisten?
Die Angreifer nutzten eine Sicherheitslücke in der VSA genannten Software des US-Anbieters Kaseya. Mit dieser Software lassen sich Computer per Fernwartung updaten. Für die Attacke wurden vermutlich mit einem Schadprogramm verseuchte E-Mails genutzt, die an IT-Systemhäuser geschickt wurden, welche die Kaseya-Software auf eigenen Servern betreiben. Darüber verbreiteten die Kriminellen ihren Schadcode auf die Computer von Kunden der Systemhäuser, überwiegend kleine und mittlere Unternehmen wie Arztpraxen oder Ingenieurbüros. Um durch die Virenabwehr zu schlüpfen, trafen die Hacker Vorkehrungen - vergleichbar mit dem Lahmlegen der Alarmanlage bei einem Einbruch. Ebenfalls kein Zufall war der Zeitpunkt des Angriffs. Am 4. Juli ist der amerikanische Unabhängigkeitstag, an dem die Besetzung in den IT-Abteilungen allenfalls dünn ist. Besonders bitter: Niederländische Sicherheitsexperten hatten die Lücke schon vor dem Angriff entdeckt und an Kaseya gemeldet. Das Unternehmen habe auch gut mit den Experten kooperiert und erfolgversprechend an einer Reparatursoftware gearbeitet, berichtet einer der Fachleute. Nur waren die Kriminellen dann schneller.
Ein großer Cyberangriff auf Firmennetzwerke in den USA hat Auswirkungen bis nach Europa. Die Spuren sollen nach Russland führen.
Warum sind so viele Computer auf einmal betroffen?
Die Hacker griffen mehrere IT-Dienstleister an, die Kunden von Kaseya sind. Dort schlichen sie sich in automatisch ausgelieferte Updates ein und erzeugten so eine Art Kettenreaktion. Wer nicht rechtzeitig von dem Angriff erfuhr und wessen Rechner noch lief, dessen Computer wurde daher automatisch mit dem Update verseucht.
Wer ist in Deutschland von dem Angriff betroffen?
"Aktuell ist der Super-GAU", schreibt das Kieler IT-Systemhaus Bolde auf seiner Internetseite. Es verwendete die Kaseya-Software und wurde eines der Opfer des Angriffs. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von mehreren betroffenen IT-Dienstleistern und Unternehmen. Bei Bolde sieht es so aus: "Es sind bei unseren Kunden knapp 150 Netzwerke mit über 1000 Arbeitsplätzen betroffen", heißt es dort. Sie müssten geprüft und gegebenenfalls repariert, aus Sicherungskopien wiederhergestellt oder neu bespielt werden. Die Techniker der Firma sind im Dauereinsatz bei den Kunden, die Telefone des IT-Dienstleisters abgestellt, alle normalen Termine abgesagt. Die Kunden sollen ihre Computer ausgeschaltet lassen. Bolde berichtet auch davon, dass das FBI die Verhandlungen mit den Angreifern übernommen habe.
Was weiß man über die Hacker, was wollen sie erreichen?
Als Hauptverdächtiger gilt die Hackergruppe REvil oder eine damit verbundene Gruppe, die in Russland beheimatet ist. Der bekannte IT-Sicherheitsexperte Dmitri Alperovitch, der sich nicht scheut, mit dem Finger auf Verantwortliche zu zeigen, hält die Führung in Moskau nicht für den Auftraggeber des Angriffs. Dieser zeige aber auch, dass Präsident Wladimir Putin noch keine Anstrengungen unternommen habe, gegen Internetkriminelle in seinem Land vorzugehen. Die Hacker sprechen selbst davon, dass sie mehr als eine Million Computer verschlüsselt hätten, was vermutlich stark übertrieben ist. Sie bieten an, gegen Bezahlung einen Generalschlüssel zur Verfügung zu stellen. Mit diesem ließen sich alle befallenen Computer binnen einer Stunde wieder entsperren.
Stand anfangs die Summe von 70 Millionen US-Dollar im Raum, zeigen sich die Erpresser nun offenbar verhandlungsbereit. Die Nachrichtenagentur Reuters gibt an, mit einem Mitglied der Gruppe kommuniziert zu haben. "Wir sind immer bereit, zu verhandeln", zitiert die Agentur einen der Erpresser. Kaseya-Vorstandsvorsitzender Fred Voccola lehnte einen Kommentar zu möglichen Verhandlungen ab.
Unter Sicherheitsexperten rätselt man, warum die Erpresserbanden in jüngster Zeit so viel Staub aufwirbeln und damit Ermittlungen etwa der mächtigen US-Geheimdienste auf sich ziehen.
Können solche Attacken auch Privatleute treffen?
Eine nach dem Muster des Kaseya-Angriffs eher nicht, andere aber schon. Es kommt sogar sehr häufig vor. Der Grund: Kriminelle Banden bieten das nötige Werkzeug gegen Gebühr zur Miete an. Auch Kriminelle, die keine Computergenies sind, können sie nutzen, um an leicht verdientes Geld zu kommen. Die Polizei in vielen Ländern unternimmt kaum etwas gegen sie, solange ihre Aktivitäten nur Opfer im Ausland treffen. Die großen Fische aber greifen gezielt Unternehmen oder öffentliche Einrichtungen an, darunter auch Krankenhäuser, weil dort viel höhere Lösegelder bezahlt werden. Erst im Juni bezahlte etwa der Fleischverarbeiter JBS USA elf Millionen Dollar an eine Hackergruppe, um seine IT zu entsperren.
Wie kann man sich dagegen schützen?
Software wird von Menschen geschrieben, und die machen Fehler. Viele davon ließen sich allerdings vermeiden, wenn die Entwickler besser darin geschult würden, Werkzeuge zu benutzen, die sich an Sicherheitsrichtlinien halten. So gelangen altbekannte Lücken immer wieder in die Programme. Sicherheitssoftware wie Firewalls oder Antivirenprogramme kurieren nur die Symptome dieser Fehler. Dennoch ist es wichtig, die Basisregeln der IT-Sicherheit zu befolgen, darunter: gesundes Misstrauen bei Mails mit Links oder Anhängen sowie regelmäßige Datensicherungen und Software-Updates. Dass beim Angriff auf die Kaseya-Software ausgerechnet die Update-Funktion zur Verbreitung verwendet wurde, ist deshalb besonders perfide.
