Cyberangriffe sind für Betroffene immer schlimm. Dennoch: Es steckt nicht immer die gleiche kriminelle Energie dahinter. Nur ist das oftmals schwer zu erkennen. Cyberangriffe sind in ihrem jeweiligen Ursprung, den genauen Motiven und den beteiligten Akteur:innen nicht selten sehr verworren und komplex. Das liegt daran, dass im Cyberraum durchaus viele mit ganz unterschiedlichen Motiven ihr Unwesen treiben.

Es folgt eine ziemlich grobe Einordnung, wie sich die Schwere von Cyberangriffen äußert – und wie vielleicht auch nicht. Beginnen wir mit Kategorie 1: nette Angriffe. In die Kategorie der eher netten Angriffe gehört üblicherweise das Aufdecken von Sicherheitslücken durch ethische Hacker:innen via Responsible Disclosure. Dabei werden Sicherheitslücken verantwortlich gemeldet, Hersteller oder betroffene Unternehmen bekommen Zeit zum Schließen der Sicherheitslücken und oftmals werden die Sicherheitslücken erst nach Schließen der Lücke ausführlich öffentlich beschrieben.

Sicherheitsforschung dieser Art ist für die betroffenen Unternehmen sehr kostengünstig, häufig sogar kostenlos – weil Sicherheitsforschende dafür maximal mit kleinen Belohnungen seitens der Unternehmen „entlohnt“ werden. Oft bleibt aber nicht mehr als Ruhm und Ehre. Rechtlich befindet man sich dabei jedoch in einem Graubereich. Denn es gilt einwandfrei nachzuweisen, wie man ein System gehackt hat, um Sicherheitslücken zu finden und zu melden – nicht, um die Daten für seine eigenen Zwecke zu nutzen. Und das kann im Zweifelsfall zu nicht unerheblichen Anwaltskosten führen.

Aber zu Kategorie 2: verbreitete Angriffe. Ist ein Cyberangriff nicht mehr so nett, wird es für Betroffene oftmals schnell teuer. Etwa, weil sie durch Ransomware erpresst werden. Cyberangreifer:innen verschlüsseln dabei die Daten von Betroffenen, blockieren so den Betrieb und verlangen Lösegeld, Ransom, um Daten wieder zu entschlüsseln. Oftmals drohen die Banden dann später mit der Veröffentlichung vertraulicher interner Daten und erpressen so Betroffene gleich doppelt – Double Extortion nennt sich das. Gefordert werden Gelder in Höhe von Tausenden Euro – bei Unternehmen auch in Millionenhöhe.

Diese Zahlungen zu tätigen ist aber nicht zu empfehlen, weil Betroffene, die einmal gezahlt haben, mitunter immer wieder gehackt werden. Mit dem Wissen, dass hier Geld zu holen ist. Der Ausgangspunkt für Ransomware-Angriffe sind oftmals massenhaft ausgenutzte, offen gelassene Schwachstellen oder groß angelegte Phishing-Angriffe. Oft sind es Ransomware-Banden, die mit wirtschaftlich organisierter Kriminalität Sicherheitslücken massenhaft ausnutzen, um Geld zu verdienen.

Schließlich gibt es noch die Kategorie 3: gezielte und aufwendige Angriffe. In dieser Kategorie nehmen die Angreifer:innen häufig sehr viel Zeit und Geld in die Hand, um sehr gezielt bestimmte Organisationen oder ganze Staaten anzugreifen. Dabei werden nicht selten Sicherheitslücken auf dem Schwarzmarkt für Millionenbeträge gekauft und anschließend für nur einen Angriff ausgenutzt. Oftmals werden sogar mehrere Sicherheitslücken hintereinander erkauft und ausgenutzt, um ganz bestimmte Gegner zu treffen. Viel Aufwand also.

Meist können sich Angriffe dieser Art nur staatlich unterstützte Hacker-Gruppen leisten – Advanced Persistent Threats mit kreativen Codenamen wie Fancy Bear oder Dynamite Panda. Russland fällt als Akteur solcher staatlich koordinierter Cyberangriffe derzeit besonders häufig auf.

Welche Kategorie einer Person, einem Unternehmen oder sogar einem Land zugestoßen ist, kann zu Beginn nicht immer einwandfrei gesagt werden. Schlimm ist ein Angriff subjektiv zwar immer – nur sind die Konsequenzen nicht immer negativ.

Vergessen dürfen wir eines nicht: Angriffe der Kategorie 1, nette Angriffe also, sind sogar hilfreich. Weil Sicherheitsforschende mit Hinweisen auf Sicherheitslücken die IT-Sicherheit für uns alle verbessern, weil dadurch sichere Software für uns alle möglich wird. Nicht jeder Cyberangriff hat also gleich kriminelle Energie – auch wenn die erste Reaktion vom Schlimmsten ausgehen mag.