Leopold Löschl ist seit 2013 Leiter des Cybercrime Competence Center (C4) des Bundeskriminalamtes. Wir sprachen mit ihm über Ransomware und die Risiken, wenn Unternehmen Geld an Erpresser zahlen.
Report: Ist der WannaCry-Wurm, der im Mai hunderttausende Computer attackiert hatte, ein Vorgeschmack auf das, was in Zukunft öfter passieren wird – globale Outbreaks, die auch wichtige Infrastruktur gefährden können?
Leopold Löschl: Ich würde nicht sagen, dass dies ein Vorgeschmack war. Wir sind bereits mitten drin in dieser Welle. Ransomware ist ja nichts Neues. In der Betroffenheit mit Ransomware liegt Österreich am zehnten Platz weltweit. Die heimische, zu anderen Regionen relativ finanzkräftige Wirtschaft ist ein Zielgebiet für Angreifer – denken Sie nur an vorgebliche Bewerbungsschreiben, gefälschte Nachrichten von Paketzustellern oder Fake-Rechnungen von Energie- und Telekomlieferanten. In diesem Ausmaß allerdings – mit der Wurm-Funktionalität und der weltweiten Verbreitung – war das neu.
Report: Die Forderungen, verschlüsselte Daten mit einer Bitcoin-Zahlung in einer Höhe von 300 Dollar wiederherzustellen – auch das war ungewöhnlich.
Löschl: Normalerweise werden höhere Beiträge erpresst – die aber gerade noch in einem Bereich liegen, in dem Menschen motiviert sind, zu zahlen. Natürlich hat eine Firma eine andere Schmerzgrenze als der Normalbürger. Denn wenn ein Ausfall von Infrastruktur oder einer Produktionsanlage droht, kann es richtig teuer werden.
Report: Was tun, wenn man nun von Ransomware betroffen ist? Wie können sich Unternehmen hier schnell helfen?
Löschl: Einigermaßen schnelle Hilfe ist nur möglich, wenn es ein Daten-Backup gibt. Selbst dann dauert die Bereinigung der Systeme einige Zeit, abhängig von der betroffenen IT. In der Regel übersteigt dieser Aufwand die Kosten der Bitcoin-Forderung. Wir empfehlen dennoch, auf Forderungen der Erpresser nicht einzugehen. Freilich ist es schwer, hier Unternehmern bestimmte Vorgangsweisen zu raten. Es ist ja auch von Fall zu Fall verschieden, wie viel Daten tatsächlich wert sind und ob die Existenz eines Betriebs daran hängt. Das muss letztendlich jeder für sich selbst entscheiden.
Unternehmen müssen sich aber im Klaren sein, dass selbst bei einer bereitgestellten Entschlüsselung erneut Schadcodes auf dem Rechner hinterlegt werden können. Noch dazu funktionierte das Entsperren bei WannaCry bisher nur in wenigen Fällen.
Im Prinzip ist eine Kooperation mit dem Angreifer so, als ob Sie einem Einbrecher erneut Ihren Haustorschlüssel in die Hand drücken. Wie vertrauenswürdig ist dieser Kriminelle? Wird vielleicht nicht wieder eine Hintertür für einen nächsten Angriff installiert? Da können auch Haftungsfragen entstehen. Das Einzige, um aus diesem Dilemma herauszukommen, ist, sich vorab genügend zu schützen, auf vertrauenswürdige IT-Experten zu setzen und regelmäßige Backups zu machen, um den Schaden möglichst gering zu halten.
Report: Wie kann die Polizei hier nun unterstützen?
Löschl: Sie können das mit einem Brand in einem Gebäude vergleichen. Sie werden zuerst versuchen, das Feuer mit Ihren zur Verfügung stehenden Mitteln zu löschen, um den Schaden möglichst zu minimieren. Wenn das nicht gelingt, rufen Sie die Feuerwehr. Schließlich kommt die Polizei, um den Brand aufzuklären.
Wir beobachten das Phänomen Cybercrime seit vielen Jahren und haben dazu eine Sonderkommission gegründet. Leider ist die Aufklärungsrate bei Ransomware weltweit sehr gering. Wichtig ist, dieses Thema zentral zu behandeln. Wir sichern die Schadcodes, untersuchen sie und vernetzen uns dazu mit Europol und den Behörden in anderen Ländern. Diese Vernetzung ermöglicht einen Überblick über die Schadensfälle und die Szene.
Cyberkriminelle handeln ökonomisch. Es ist wie bei einer Einbruchstour: Wenn eine Tür nicht nach kurzer Zeit gewaltsam geöffnet werden kann, werden für den Kriminellen Aufwand und Risiko zu groß. Wenn ein Unternehmen seine Hausaufgaben macht und seine Systeme genügend absichert, verleitet das Angreifer, sich einfachere Ziele zu suchen.