Eine Anwältin aus der Steiermark, ein Dachdecker aus Niederösterreich und ein Pharmaunternehmen aus Wien sind die letzten bekannten Opfer von Ransomware-Attacken in Österreich. Insgesamt wurden im vergangenen Jahr nach Cyberangriffen mit erpresserischer Software Daten von 37 heimischen Firmen von Cyberkriminellen veröffentlicht, wie eine Auswertung der auf das Monitoring im Darknet spezialisierten Sicherheitsfirma Risikomonitor zeigt.
Die tatsächliche Zahl der Angriffe dürfte weit höher sein. Denn auf den einschlägigen Plattformen tauchen Opfer nur dann auf, wenn sie den Forderungen der Angreifer nicht nachgeben. Manuel Löw-Beer von Risikomonitor schätzt die Zahl der attackierten Firmen auf bis zu zehn Mal so hoch.
Nicht alle Angriffe sind erfolgreich. Knapp ein Drittel der Unternehmen, bei denen Angriffe erfolgreich waren, dürften den Forderungen der Kriminellen nachgekommen sein, sagt Löw-Beer. Sein Unternehmen beobachtet die Aktivitäten von mehr als 1.660 Ransomware-Gruppen im Darknet, dem verborgenen Teil des Internets, der nur über spezielle Software erreichbar ist.
Willkürliche Attacken
Wie werden die Ziele ausgewählt? Dort, wo sich Gelegenheit bietet, wird angegriffen. Ihre Opfer finden die Angreifer über Bots, die Server automatisiert auf Schwachstellen untersuchen, oder über Phishing-Angriffe, bei denen Zugangsdaten zu Firmennetzwerken erbeutet werden. Dass Unternehmen gezielt ausgewählt werden, komme selten vor, sagt Löw-Beer.
Die Banden, die zwischen 20 und 60 Mitarbeiter zählen, sind professionell organisiert. Opfern wird meist eine Schadensnummer zugewiesen, mit der sie sich auf einer Plattform anmelden können. Danach beginnen die Verhandlungen. Neben einem Helpdesk verfügen die Gangs meist auch über strategische und technische Abteilungen. „Sie sind organisiert wie Firmen“, sagt Löw-Beer.
In Österreich sind laut der Risikomonitor-Statistik die beiden mutmaßlich aus Russland stammenden Gruppen Qilin und Incransom am aktivsten. Gefolgt von der chinesischen Lockbit3-Gang und dem Dienstleister Akira, der Schadsoftware an Kriminelle vermietet.
Manuel Löw-Beer
Manuel Löw-Beer beobachtet mit seiner Firme Risikomonitor mehr als 1.660 Cybergangs im Darknet.
Im Schnitt würden bei erfolgreichen Angriffen vier Bitcoin (nach aktuellem Kurs rund 315.000 Euro) an Lösegeld für die Freigabe der Daten verlangt, erzählt Löw-Beer. Mit der Drohung, die Daten zu veröffentlichen, wird zusätzlich Druck gemacht. Mit einer professionellen Verhandlungsführung könnten die Forderungen bis auf ein Viertel der ursprünglichen Summe heruntergehandelt werden, sagt Löw-Beer: „Die Angreifer wollen möglichst schnell Geld.“
Betroffenen Firmen rät er, sich professionelle Hilfe zu suchen. Bezahlen sollte man nur, wenn man sonst keine andere Wahl habe. Löw-Beer empfiehlt auch, sich bei etwaigen Zahlungen rechtlich beraten zu lassen.
Rechtliche Fragen
Zu prüfen sei etwa, ob die Gruppe auf einer Sanktionsliste stehe, sagt der auf Cyberkriminalität spezialisierte Anwalt Roman Taudes. Bei Lösegeldzahlungen leiste man in der Regel einen Beitrag an eine kriminelle Organisation. Strafen könne man sich durch einen entschuldigenden Notstand entziehen. Wenn etwa die Auswirkungen auf Mitarbeiter, Kunden oder das Unternehmen schwerer wiegen als die Beteiligung an einer kriminellen Vereinigung.
Taudes rät Firmen, auf jeden Fall mit den Angreifern zu verhandeln. So bestehe die Möglichkeit, an Informationen zu kommen, die helfen, die Krisensituation schneller zu bewältigen. Er habe schon Fälle gehabt, bei denen die Angreifer die Daten gar nicht exfiltriert hätten, sagt Taudes. Das Lösegeld tatsächlich bezahlen würden weniger als die Hälfte seiner Kunden, erzählt der Anwalt.
Was ist, wenn die Angreifer die Daten trotz Zahlung nicht freigeben? Solche Fälle habe …read more
Source:: Kurier.at – Wirtschaft
