Ransomware-Angriffe: So erpressen Cyberkriminelle Unternehmen

Nachdem sich Cyberkriminelle unbemerkt im IT-Netzwerk eines Unternehmens festgesetzt und ausgebreitet haben, folgt die nächste Phase des Angriffs: die Datenexfiltration und Verschlüsselung.

Überblick

• Cyberkriminelle stehlen mit Hilfe von Ransomware sensible Unternehmensdaten wie Kundendaten, Finanzinformationen oder geistiges Eigentum und schleusen diese unbemerkt aus dem IT-Netzwerk des Unternehmens.
• Gestohlene Daten werden genutzt, um das Unternehmen damit zu erpressen, die Daten im Darknet zu verkaufen oder zu veröffentlichen, falls kein Lösegeld gezahlt wird.
• Nach der Exfiltration verschlüsseln Cyberkriminelle die Unternehmensdaten, sodass sie ohne den passenden Schlüssel nicht mehr zugänglich sind. Dann fordern sie ein Lösegeld für die Entschlüsselung.
• Die Verschlüsselung erfolgt häufig zu Zeiten, in denen die IT-Abteilung nicht oder nur spärlich besetzt ist, z. B. am Wochenende oder nachts.
• Unternehmen können unter anderem vorbeugen, indem sie regelmäßig Backups aller relevanten Server und Daten erstellen.

Nachdem der Weg ins Netzwerk gefunden und erste Schadsoftware platziert wurde, folgt die nächste Eskalationsstufe eines Cyberangriffs: die gezielte Exfiltration und Verschlüsselung sensibler Unternehmensdaten. Welche Daten besonders im Visier stehen und wie sich Unternehmen vor dieser Phase schützen können, steht im Fokus dieses Beitrags.

Datenexfiltration: Informationen als Druckmittel

Datenexfiltration bezeichnet den illegalen Abfluss von Daten aus einem Unternehmen. Dies geschieht häufig, nachdem Cyberkriminelle unbemerkt ins IT-Netzwerk des Unternehmens eingedrungen sind und ihre Schadsoftware, sogenannte Ransomware, dort platziert haben. Ihr Ziel ist es, sensible Informationen – wie Kundendaten, Finanzinformationen oder geistiges Eigentum – zu stehlen. Die Datenexfiltration in Ransomware-Fällen dient vor allem dazu, das Unternehmen zu erpressen, die gestohlenen Daten weiterzuverkaufen oder sie zu veröffentlichen, falls keine Lösegeldzahlung erfolgt. Dadurch soll zusätzlicher Druck ausgeübt und die Wahrscheinlichkeit einer Zahlung erhöht werden. Dieses Vorgehen der Cyberkriminellen nennt sich „Double Extortion“ – die Cyberkriminellen fordern einerseits Lösegeld für die Entschlüsselung der Daten, andererseits auch dafür, dass sie die exfiltrierten Daten nicht weiterverkaufen oder veröffentlichen.

Cyberkriminelle setzen oft unauffällige oder gewöhnliche Tools ein, um die Daten zu exfiltrieren, sodass ihr Tun von den Sicherheitsmaßnahmen des Unternehmens nicht sofort erkannt wird. Zum Beispiel können sie Datenaustauschplattformen oder Cloud-Dienste nutzen, um Daten schrittweise und unauffällig zu übertragen, ohne dass ein Alarm ausgelöst wird.

Bei einer derartigen Exfiltration sind Betriebsgeheimnisse und geistiges Eigentum besonders attraktive Ziele. Äußerst wertvoll für Cyberkriminelle sind außerdem Daten, die für die Konkurrenz bzw. den Mitbewerb von Interesse sein könnten, wie etwa Finanzberichte, Forschungs- und Entwicklungsdaten oder strategische Planungen. Wenn die Cyberkriminellen Daten in großem Umfang exfiltrieren, sind für gewöhnlich auch personenbezogene Informationen wie Namen, Adressen, Lebensläufe oder Kreditkartendaten von Mitarbeitenden, Lieferant:innen oder Kund:innen enthalten.

Besonders im Kontext der DSGVO (Datenschutz-Grundverordnung, engl. GDPR) hat eine Datenexfiltration weitreichende Folgen. Werden etwa die personenbezogenen Daten von Kund:innen oder Mitarbeitenden entwendet, kann das Unternehmen mit hohen Bußgeldern belegt werden. Neben den finanziellen Einbußen drohen auch erhebliche Imageschäden und Vertrauensverlust.

In vielen Fällen verkaufen Cyberkriminelle gestohlene Daten im Darknet – einem verborgenen Teil des Internets, der nur über spezielle Software wie das Tor-Netzwerk zugänglich ist. Dort existieren illegale Marktplätze, auf denen Cyberkriminelle Kundendaten, Zugangsdaten und Unternehmensgeheimnisse zum Verkauf anbieten. Besonders begehrt sind Kreditkartendaten, Anmeldedaten für Online-Dienste oder vertrauliche Geschäftsunterlagen. Nähere Informationen zum Darknet und wofür es verwendet wird, finden Sie in unserem Artikel über Arten von Cyberangriffen.

Technischer Einblick in die Verschlüsselung

Verschlüsselung ist ein Prozess, bei dem Daten mithilfe eines Algorithmus in eine zufällig erscheinende Zeichenkette umgewandelt werden. Diese Zeichenketten können nur mit dem zugehörigen Schlüssel wieder entschlüsselt und damit lesbar gemacht werden.

Schon in der Antike nutzten Menschen einfache Codes und Symbole, um Nachrichten zu verschlüsseln, sodass nur die beabsichtigte empfangende Stelle sie verstehen konnte. Ein bekanntes Beispiel ist die Caesar-Verschlüsselung, bei der Buchstaben im Alphabet um eine feste Anzahl von Stellen verschoben werden (es handelt sich also um eine sogenannte „Verschiebechiffre“). Die folgende Grafik veranschaulicht den Verschiebeprozess:

Verschiebechiffre

Diese Praktiken waren besonders wichtig in Zeiten von Kriegen und politischen Konflikten, da sie es ermöglichten, geheime Informationen zu übermitteln, ohne dass Feinde die abgefangenen Nachrichten lesen konnten. Ein besonders bekanntes Beispiel für eine historische Verschlüsselung in Kriegszeiten ist die Enigma-Maschine, die im Zweiten Weltkrieg von den deutschen Streitkräften verwendet wurde. Diese Maschine nutzte rotierende Walzen, um Nachrichten in scheinbar unlesbare Codes zu verwandeln. Die Entschlüsselung der Enigma-Maschine war entscheidend für den Verlauf des Krieges, da die Alliierten dadurch in der Lage waren, militärische Informationen zu entschlüsseln und strategische Vorteile zu erlangen.

Grundsätzlich wird zwischen zwei Arten von Verschlüsselung unterschieden, dem symmetrischen und dem asymmetrischen Verschlüsselungsverfahren.

Arten von Verschlüsselung

• Symmetrische Verschlüsselung: Bei dieser Methode verwenden sowohl Sender:in als auch Empfänger:in denselben Schlüssel, um die Daten zu ver- und entschlüsseln. Ein Beispiel für diese Verschlüsselungsmethode ist der AES-Algorithmus (Advanced Encryption Standard), der in der Praxis häufig eingesetzt wird. Der Nachteil der symmetrischen Verschlüsselung liegt in der Schlüsselverwaltung: Wenn der Schlüssel in falsche Hände gerät, könnten Unbefugte auf die Daten zugreifen. Daher muss der Schlüssel sicher übertragen und gespeichert werden, was eine Herausforderung darstellen kann.

Funktionsweise symmetrischer Verschlüsselung

• Asymmetrische Verschlüsselung: Im Gegensatz zur symmetrischen Verschlüsselung kommen hier zwei verschiedene Schlüssel zum Einsatz – ein öffentlicher und ein privater. Der öffentliche Schlüssel wird verwendet, um Daten zu verschlüsseln, während der private Schlüssel dazu dient, sie wieder zu entschlüsseln. Nur der:die Empfänger:in, der:die im Besitz des privaten Schlüssels ist, kann die Daten entschlüsseln. Ein weit verbreitetes Beispiel hierfür ist der RSA-Algorithmus, der unter anderem bei der sicheren Kommunikation über HTTPS genutzt wird – einem Protokoll, das dafür sorgt, dass die Daten beim Surfen im Internet geschützt sind. Ein weiteres Beispiel für den Einsatz asymmetrischer Verschlüsselung sind digitale Signaturen: Dabei wird mit dem privaten Schlüssel eine Nachricht oder Datei signiert und mit dem zugehörigen öffentlichen Schlüssel verifiziert.

Sind durch Backups alle Probleme gelöst?

Viele Unternehmen setzen auf Backups als Schutz vor Datenverlust. Doch sind diese wirklich sicher und ist das Unternehmen dadurch vor Ransomware-Angriffen geschützt? Leider nicht immer. Cyberkriminelle wissen um die Bedeutung von Backups zur Datenwiederherstellung und greifen diese daher gezielt an. Cyberkriminelle können Backups ebenfalls verschlüsseln oder löschen, wenn sie Zugriff auf das IT-Netzwerk eines Unternehmens haben. Ein ungeschütztes und mit dem IT-Netzwerk verbundenes Backup ist also kein Allheilmittel.

Ein sicheres Backup sollte zumindest:

• Regelmäßig erstellt und getestet werden.
• Offline und/oder in einer isolierten Cloud-Umgebung mit zusätzlichen Sicherheitsmaßnahmen gespeichert sein, um einen direkten Zugriff darauf durch die Cyberkriminellen zu verhindern.
• Mit eigenen Schutzmechanismen, wie etwa Zugriffsbeschränkungen, versehen sein.

Wie schnell können Cyberkriminelle Daten verschlüsseln?

Die Zeit, die für die Verschlüsselung benötigt wird, variiert je nach Umfang der Daten und der eingesetzten Ransomware. Cyberkriminelle achten jedoch darauf, dass die Verschlüsselung möglichst unauffällig verläuft, sodass sie erst nach einer möglichst langen Zeit bemerkt wird. Manche Cyberkriminelle versuchen, den Verschlüsselungsprozess weiter zu beschleunigen, indem sie nur einen Teil oder ausgewählte Teile einer Datei verschlüsseln. Trotz dessen, dass ein Teil der Datei weiterhin lesbar bleibt, ist diese in den meisten Fällen nicht mehr wiederherstellbar und somit unbrauchbar.

Die Verschlüsselung wird oft zu Zeiten durchgeführt, in denen die IT-Abteilung des Unternehmens nicht oder nur im Notbetrieb besetzt ist – beispielsweise am Wochenende oder in der Nacht. Cyberkriminelle wissen, dass die Wahrscheinlichkeit, dass das Unternehmen sofort auf den Angriff reagiert, zu diesen Zeiten geringer ist. In vielen Fällen, in denen wir Unternehmen erst reaktiv bei der Aufklärung eines Cyberangriffs unterstützen, wurde die Verschlüsselung der Daten am Freitagabend oder samstags gestartet und erst am Montagmorgen bemerkt, wenn die Mitarbeitenden ins Büro kommen und diverse Systeme nicht mehr zugänglich sind.