Die Lehren nach Hackerangriffen: Warum Unternehmen Lösegeld zahlen und was man dagegen tun kann

Der Versicherer CNA Financial zahlte 40 Mio. Dollar, um seine gehackten Daten wiederzuerhalten. JBS Foods legte 11 Mio. Dollar auf den Tisch, Colonial Pipeline etwa 4,4 Mio. Dollar. Ein US-Kongressausschuss untersuchte, wie Cyberkriminelle Unternehmen hacken, unter Druck setzen und Lösegeld kassieren. Welche Lehren man daraus ziehen sollte.

Im März 2021 wurde die CNA Financial Corp., eine der größten US-Versicherungsgesellschaften, Opfer eines Ransomware-Angriffs durch eine cyberkriminelle Gruppe namens Phoenix. Die Angreifer warnten den Versicherer, dass die CNA-Daten, über die sie verfügten, wichtig seien. „Sie werden schwer getroffen, wenn sie durchsickern“, schrieben sie. Die Angreifer teilten CNA auch mit, dass sie nichts veröffentlichen oder mit der Presse über den Vorfall sprechen würden, wenn das Unternehmen das Lösegeld bezahle. Schließlich willigte das Unternehmen ein und zahlte 40 Mio. Dollar in Bitcoin. Dieser Ransomware-Angriff war einer der größeren Angriffe, die im Jahr 2021 gemeldet wurden.

Kleine Sicherheitsmängel führen zu teuren Schäden

Ein paar Monate später erwischte es den Pipeline-Betreiber Colonial Pipeline sowie den Fleischproduzenten JBS Foods USA. Ein Kongressausschuss widmete sich nun den Hintergründen, um weitere solche Vorfälle in Zukunft zu vermeiden. Bei allen drei kostspieligen Angriffen haben die Cyberkriminellen offenbar „kleine Schwachstellen“ in den Sicherheitssystemen ausgenutzt. Im Fall von Colonial begann der Angriff mit einem einzigen gestohlenen Passwort für ein altes Benutzerprofil. Im Fall von JBS handelte es sich um ein altes Netzwerkadministratorkonto, das nicht deaktiviert worden war und ein schwaches Passwort hatte. Die Angreifer von CNA überzeugten einen einzelnen Mitarbeiter, ein gefälschtes Webbrowser-Update von einer kommerziellen Website zu akzeptieren. „Selbst große Organisationen mit scheinbar robusten Sicherheitssystemen fielen einfachen Angriffen zum Opfer, was die Notwendigkeit unterstreicht, die Sicherheitsaufklärung zu verbessern und andere Sicherheitsmaßnahmen vor einem Angriff zu ergreifen“, heißt es in der Mitteilung des House Committee on Oversight and Reform vom 16. November 2021.

Verzögerungen durch die Behörden

„Einigen Unternehmen fehlte eine klare Anlaufstelle bei der Bundesregierung. Je nach Branche sahen sich die Unternehmen mit einem Flickenteppich von Bundesbehörden konfrontiert, an die sie sich wegen der Angriffe wenden mussten“, stellte der Ausschuss fest und betonte, wie wichtig es sei, „klare Ansprechpartner auf Bundesebene zu haben“. Colonial wandte sich an mindestens sieben Bundesbehörden oder -ämter. CNA wurde zunächst an eine FBI-Außenstelle und dann an eine andere verwiesen. Eine E-Mail eines JBS-Beamten an eine FBI-Außenstelle wurde an verschiedene Beamte weitergeleitet, was zu einer mehrstündigen Verzögerung der Antwort des FBI führte.

Eine weitere Erkenntnis: Die von den Cyberkriminellen zur Verfügung gestellten Entschlüsselungsschlüssel scheinen zwar zu funktionieren, es ist jedoch unklar, ob die Verwendung der Entschlüsselungsschlüssel die effektivste Option war. CNA stellte seine Daten mithilfe von Beratern wieder her, die ein von den Angreifern verwendetes Repository ausfindig machten. Die REvil-Angreifer haben JBS nie den Nachweis erbracht, dass sie alle Kopien der gestohlenen Daten vernichtet haben.

Mehr in Cybersicherheit investieren

Zum Ausschuss-Memo fand auch eine Anhörung statt. Die Regierung kann nur dazu aufrufen, mehr in Cybersicherheit zu investieren. Denn: Die Systeme, auf die es diese Kriminellen abgesehen haben, sind allzu oft verwundbar, weil es versäumt wurde, Patches und Upgrades zu installieren, Daten ordnungsgemäß zu sichern, zuverlässige Backups zu erstellen oder sicherzustellen, dass die Mitarbeiter an vorderster Front grundlegende Cybersicherheitspraktiken konsequent anwenden.

Cyberkriminelle zu jagen sei schwierig, weil sie sich meist in Staaten befinden, wo sie nicht zur Rechenschaft gezogen werden. Das zweite Problem sind Kryptowährungen. Die inkonsequente Anwendung von Anti-Geldwäsche-Kontrollen auf virtuelle Währungen ermöglicht es Kriminellen, Arbitrage zu betreiben und zulässige Gerichtsbarkeiten zu nutzen, um die Erlöse aus ihren Straftaten zu waschen.

Autor: VW-Redaktion