News

Durch Hacker: Erpressung von Firmen nimmt zu

(Foto: Shutterstock)

Im Mai wurde der Buchhändler Osiander Ziel eines Hackerangriffs. Mithilfe von Verschlüsselungssoftware wollten die Täter wohl Lösegeld erpressen. So weit kam es aber nicht.

Am Ende war es ein glücklicher Zufall: Als der Systemadministrator am späten Abend noch Ausfälle auf Servern überprüfte, bemerkte er eine Aktivität, die dort nicht hingehörte, und zog kurzerhand den Stecker. Gerade noch rechtzeitig. Hacker hatten bereits begonnen, Daten zu verschlüsseln – vermutlich, um Lösegeld zu fordern. Die Tübinger Buchhandlung Osiander war im Mai Opfer dieses Hacker-Angriffs geworden.

Der Buchhändler in Familienhand war Ziel einer Attacke mit sogenannter Ransomware. Software, mit deren Hilfe Hacker Daten verschlüsseln, um dann Lösegeld zu erpressen. Beim Landeskriminalamt in Stuttgart stellt man fest, dass solche Täter verstärkt Unternehmen als Ziel ihrer Erpressung ins Visier nehmen. Symantec, der weltweit größte Anbieter von Sicherheitssoftware, meldet in seinem Sicherheitsreport, dass die Erpressungsfälle weltweit zurückgingen. Die Zahl der Angriffe auf Firmen stieg allerdings um zwölf Prozent. „Angriffe auf Firmen sind lukrativer“, erklärt Symantec-Sicherheitsexperte Dick O’Brian.

Dabei geht es nicht immer nur um große Konzerne: Auch kleinere Firmen, Anwaltskanzleien, Arztpraxen mit sensiblen Daten, oder aber Handwerksbetriebe sind Ziele solcher Attacken. Das Stuttgarter Innenministerium hat deswegen vor einem Jahr die sogenannte Cyberwehr ins Leben gerufen, die kleineren Unternehmen helfen soll, sich gegen Hackerangriffe zu wehren.

Das Pilotprojekt startete in Karlsruhe und wurde inzwischen auf die Landkreise Rastatt und Baden-Baden ausgeweitet. „Ende 2019 wollen wir technisch und organisatorisch soweit sein, dass wir die Hotline und Hilfe vor Ort 2020 sukzessive im gesamten Land anbieten können“, sagt Projektleiter Dirk Achenbach. Bislang suchten Firmen in 63 Fällen Hilfe bei der Cyberwehr. Sieben feste Mitarbeiter hat das Projekt – die Unterstützung vor Ort leisten IT-Dienstleister, die mit der Cyberwehr zusammenarbeiten.

„Wir helfen zunächst mit einer telefonischen Ferndiagnose“, sagt Achenbach. „Dann schalten wir bei Bedarf Experten in der Nähe ein.“ Meist gehen die Täter ähnlich vor. Mithilfe von Software in E-Mail-Anhängen oder Links verschaffen sie sich Zugang. Dann breiten sie sich auf den Rechnern im System aus und suchen nach relevanten Daten. „Dabei werden gezielt Backups gelöscht und Daten verschlüsselt – bevorzugt am Wochenende, wenn es niemand merkt“, sagt Achenbach. In der Regel werde versucht, die gesamte IT außer Kraft zu setzen. Das treffe häufig auch das Telefon, weil die meisten Firmen Voice-over-IP-Telefone haben, sagt Achenbach: „Ziel ist, möglichst großes Chaos zu verursachen, möglichst viel Schaden anzurichten.“

Webshop über Tage lahmgelegt

Bei Osiander hatten die Täter genau so begonnen. „Es wurden Gehaltsdaten verschlüsselt“, erzählt Aufsichtsratschef Herrmann-Arndt Riethmüller. Dabei handelte es sich glücklicherweise nur um eine Sicherheitskopie. „Aktuelle Daten waren nicht betroffen – ebenso wenig wie Kundendaten.“ Am Ende meldeten sich die Hacker nie mit einer Lösegeldforderung, sagt Riethmüller. „Nach vier, fünf Tagen haben wir die Kunden informiert.“ Dann ging die Arbeit richtig los. Denn die IT der Buchhandlung mit mehr als 60 Filialen und 700 Mitarbeitern verwaltet etwa 1.000 Geräte. Es wurde ein komplett neues System aufgesetzt.

Über Tage war der Webshop von Osiander nicht zu erreichen, Kundenbestellungen mussten die Buchhändler telefonisch an den Lieferanten durchgeben. Via Facebook hielt die Geschäftsführung die Kunden über die nervenaufreibenden Aufräumarbeiten auf dem Laufenden. Das ist unüblich. Die meisten Firmen schweigen lieber, wenn sie Ziel eines Hackerangriffs geworden sind.

Osiander hatte noch Glück im Unglück, denn auch die Helfer der Cyberwehr können nicht immer alles retten. „Wenn es keine Datensicherung gibt, wird es bei einem Angriff mit Ransomware sehr schwierig“, sagt Achenbach. Er rät ausdrücklich davon ab, den Forderungen der Erpresser nachzugeben.

Im Falle von Osiander ist unklar, woher der Angriff stammte. „Vermutlich war es ein E-Mail-Anhang“, sagt Riethmüller. Erfolg hätten die Hacker aber ohnehin nicht gehabt. „Ich würde nicht bezahlen, wenn wir erpresst würden“, sagt der Osiander-Aufsichtsratschef. „Und ich würde immer mit der Polizei zusammenarbeiten.“

Zum Weiterlesen:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung