Cybercrime: Wie Unternehmen mit Ransomware erpresst werden

Die Polizei Aachen hat eine recht beachtliche Pressemitteilung zum Umgang mit Cybercrime für Unternehmen herausgegeben, die auch hier aufgenommen wird. Man kann nicht genug betonen, wie wichtig es ist, hier nicht zu blauäugig zu sein – Mitarbeiter sind ein erhebliches Einfallstor für Angreifer, etwa über Fake-Support-Anrufe und natürlich mit den modernen Bestell-Maschen.

Technologieregion Aachen

Man sollte nicht unterschätzen, wie bedeutsam die Unternehmen der hiesigen Technologieregion sind. Passend erschien auch heute der Bitkom Smart-City Index, wo sich Aachen zumindest in den Top20 wiederfindet – zusammen mit RWTH, der zunehmend florierenden IT-Landschaft und im Süden angrenzend an das Forschungszentrum Jülich wird die Bedeutung der hiesigen Region massiv zunehmen. Und damit für Cyberkriminelle nur noch interessanter sein.

Cybercrime: Wie Unternehmen mit Ransomware erpresst werden - Rechtsanwalt Ferner
PM des Bitkom, https://www.bitkom.org/Presse/Presseinformation/Smart-City-Index-2021

Dabei bedeutet Cybercrime nicht nur ein Ärgernis, selbst wenn man gute Backups hat und die IT-Infrastruktur umgehend wieder instand bringen kann: Neben Imageschäden drohen empfindliche Meldepflichten und Bußgelder. Ja, natürlich geht es um die . Das Szenario eines erfolgreichen Hacks gehört nicht verdrängt, sondern fest geplant, damit im Fall der Fälle nicht hektisch kurze Fristen verpasst werden, sondern man gemäß Fahrplan abarbeiten kann.

Zielgerichtetes Vorgehen von Angreifern

Gerade kleine Unternehmen verschätzen sich sehr, was die Angriffe angeht – auch gesteuert von schlechten Filmen und Reportagen hat man immer die großen bösen Hacker (mit Kapuze auf dem Kopf vor dem Rechner sitzend) vor Augen, die zielgerichtet ausgewählte Opfer angehen. So funktioniert es aber nicht – zwar wird zielgerichtet vorgegangen, aber nicht in dem Sinne, dass ein Hacker sich ein Unternehmen aussucht.

Die Automatisierung macht so was auch gar nicht nötig: Mit Skripten kann man auslesen, welche Dienste etwa eine Webseite benutzt. Schon der Provider lässt Rückschlüsse zu, etwa darauf, welches System zur Verwaltung zum Einsatz kommt. Und so können dann automatisiert massenhaft Webseiten aufgerufen, IP-Adressen ausgelesen, einem Provider zugeordnet und -Mails geschaffen werden, die scheinbar vom eigenen System generiert wurden. Beispiel:

Cybercrime: Wie Unternehmen mit Ransomware erpresst werden - Rechtsanwalt Ferner
Beispielhafte Mail, wie sie uns immer wieder erreicht

Solche Mails erreichen uns immer wieder, weil einer unserer Server bei einem Provider steht, der regelmäßig cPanel zur Verwaltung nutzt. Ist ganz nett gemacht. Im Screenshot habe ich die Maus auf den Link bewegt, damit man sehen kann, welcher Link sich wirklich hinter dem angeblichen Link zu unserer cPanel-Oberfläche steckt. Nun ist das ohnehin zum Scheitern verurteilt, weil wir u.a. eigene dedizierte Server haben und sicherlich kein cPanel nutzen. Und aus Sicherheitsgründen ist die Webseite nochmals ausgelagert und von der anderen Infrastruktur getrennt. Ist vielleicht für viele kleine Betriebe am Ende etwas aufwendig, aber auch nicht zwingend – wichtig ist, zu sehen, dass auch automatisierte Angriffe mit wenig Aufwand sehr personalisiert sein können.

Denn: Solche Angriffe leben vor allem vom Moment der Täuschung. Das Konzept ist äussert simpel: Einen kurzen kleinen Schreckmoment auslösen („Achtung fremder Zugriff“), in einem bekannten Umfeld („Fake-Mail“) um die gewünschte Aktion auszulösen („Klick & Dateneingabe“).

IT-Sicherheitsrecht & Sicherheitsvorfall

Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und Compliance wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Mitteilung der Polizei Aachen zu Cybererpressung

Der Großraum Aachen ist als Technologiestandort für Cybererpresser besonders interessant. Kleine, mittelständische und große Unternehmen sind aber nicht nur hier derzeit von sogenannten „Ransomware-Attacken“ betroffen. Das Phänomen häuft sich in den letzten Wochen landes- und bundesweit.

Die Straftäter greifen die IT-Systeme der Firmen an. Sie verschlüsseln Firmendaten mit der Folge, dass der Betrieb umfänglich eingestellt werden muss. Die IT-Infrastruktur kann in der Regel nur mit großem Aufwand wieder hergestellt werden. Betroffen sind Verwaltung, Logistik und Produktion. Die wirtschaftlichen Schäden bewegen sich im 7-stelligen Eurobereich.

In letzter Zeit stellt die Polizei eine besonders perfide Masche der Erpresser fest: Die Verschlüsselung wird mit dem von Firmendaten kombiniert. Die Täter verschaffen sich Zugang zu den Daten der Firmen, schauen sich in den Systemumgebung um und stehlen wertvolle Daten. Sie drohen, diese vollständig im zu veröffentlichen. Die Werkzeuge dafür werden im Darknet häufig gleich mit angeboten, quasi als „crime as a service„.

In beiden Varianten werden von dem Unternehmen Lösegeldsummen in virtueller Währung (z. B. ) verlangt. Je nach Wirtschaftskraft des Unternehmens kann dies im Einzelfall auch ein Millionenbetrag sein. Für die Betriebe ist es eine Herausforderung, die IT-Systeme sicherheitstechnisch auf Stand zu bringen und zu halten. Fehlende Updates bei Programmen, Betriebssystemen aber auch Anti-Virensoftware oder Firewalls sind willkommene Einfallstore für die Täter. Auch ein nicht geändertes Standardpasswort eines Netzwerkdruckers oder eines Routers erleichtern oder ermöglichen Angriffe.

Nicht zuletzt spielt der Faktor Mensch in diesem Kontext eine Rolle, das „social engineering“ ist nicht zu unterschätzen. Eine unverfängliche Mail mit einem infizierten Dateianhang unvorsichtigerweise geöffnet und der Angreifer hat sein Ziel erreicht. Schwache oder mehrfach genutzte Passwörter und fahrlässiger Umgang mit administrativen Zugängen können schnell zum Verhängnis werden.

Die Landeskriminalämter und das Bundesamt für Sicherheit in der Informationstechnik stellen umfängliche Handlungsempfehlungen zu Verschlüsselungstrojanern im Internet zur Verfügung. Gemeinsam mit IT-Fachkräften sollten Firmen prüfen, ob ihre Systeme auf sicherheitstechnischem Stand sind und den Empfehlungen entsprechen. Auch sollten die Mitarbeiter regelmäßig im Umgang mit eingehenden Mails und Passwörtern sensibilisiert werden. Ein Notfallplan und Notfallerreichbarkeiten gehört heute nicht nur für Brandfälle, sondern auch für Cyberangriffe in die Schublade.

Beratung zum Thema Cybercrime bietet auch das Kriminalkommissariat KP/O (Kriminalprävention) der Aachener Polizei an. Im Ernstfall eines Cyberangriffes sollte unverzüglich Kontakt mit der örtlichen Polizeidienststelle oder der Hotline des Cybercrime-Kompetenzzentrum für Klein- und Mittelständige Unternehmen (KMU) des LKA NRW aufgenommen werden (Quelle dieses Abschnitts: Pressemitteilung des Gerichts)

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.