Im Banking gelten Ökosysteme als heisser Trend. Cyberkriminelle, die das Finanzwesen zu ihren Lieblingszielen zählen, haben das Business-Prinzip nun ebenfalls übernommen.
Dieser Tage macht Ransomware wieder grosse Schlagzeilen: Anfang Mai gelang es der Hacker-Truppe Darkside, sich Zutritt zu den Systemen der amerikanischen Ölpipeline-Betreiberin Colonial zu verschaffen. In der Folge blockierte sie die Zufuhr für eine ganze Woche – wegen der Bedeutung der Pipeline sah sich US-Präsident Joe Biden gar gezwungen, den Notstand auszurufen.
Der Spuk endete erst, als Colonial 5 Millionen Dollar Lösegeld an die Cyber-Kriminellen zahlte.
Ein neues Massengeschäft
Coups wie jener gegen Colonial sind aber heute eher die Ausnahme in der Schattenwirtschaft der Hacker, wie neue Erkenntnisse der weltweit tätigen Cybersecurity-Anbieterin Kaspersky zeigen.
Den Experten der Sicherheitsfirma zufolge setzen sich Ransomware-Angriffe, bei denen Daten verschlüsselt und Lösegeld erpresst werden, mittlerweile aus einem ganzen Ökosystem an Akteuren zusammen. In der Folge richten sie sich auch nicht mehr nur gegen grosse Unternehmen und Regierungs-Organisationen, sondern praktisch gegen jedes Unternehmen.
Hinter dem neuen Massengeschäft mit der digitalen Erpressung steht eine komplexe Branche, an der viele verschiedene Akteure mit unterschiedlichen Rollen beteiligt sind. Kaspersky nennt hier etwa Entwickler, Bot-Master, Verkäufer von Zugangsdaten oder Ransomware-Betreiber. Sie alle arbeiten Hand in Hand in einer kriminellen Dienstleistung, bei der es ebenso um bequemeren Zugang und Profit geht wie bei den legalen Ökoystemen, die auch im Schweizer Finanzwesen derzeit Schule machen.
Die Norm sind in diesem «Business» demnach nicht verschworene Truppen wie Darkside, sondern internationale operierende Banden.
Vereint durchs Streben nach Profit
Dabei entsteht eine Partnerschaft zwischen den Ransomware-Betreibern und ihren «Kunden», wobei die Betreiber eine Gewinnbeteiligung zwischen 20 und 40 Prozent erhalten, während die verbleibenden 60 bis 80 Prozent beim Auftraggeber bleiben. Die Auswahl der Partner folgt einem ausgefeilten Prozess mit Regeln, die von den Ransomware-Betreibern festgelegt werden, weiss man bei Kaspersky.
Verkäufer und Kunde vereint dabei das Streben nach Profit, weswegen es sich bei den am meisten infizierten Zielen um Unternehmen oder Organisationen handelt, die besonders einfach zu «hacken» waren. Solche Zugänge werden gar auf Auktions-Plattformen versteigert oder zu Fixpreisen ab 50 Dollar in Darknet-Foren angeboten. Bei den Angreifern handelt es sich meistens um Botnet-Besitzer, die an massiven und breit angelegten Kampagnen mitwirken und den Zugang auf die Geräte ihrer Opfer in grossen Mengen verkaufen.
Corona vergrössert Angriffsfläche
Verkäufer von Zugangsdaten sind dagegen stets auf der Suche nach öffentlich bekannt gewordenen Schwachstellen in mit dem Internet verbundener Software, mit denen sie Organisationen infiltrieren können.
Zu den Lieblingszielen dieser Machenschaften zählt sinnigerweise das Finanzwesen; Erhebungen der Schweizer Börsenbetreiberin SIX vom letzten Jahr zufolge sind Ransomware-Angriffe nach den Phishing-Attacken im Internet mittlerweile die grösste Gefahrenquellen fürs Swiss Banking. Die Angriffsfläche hat sich während der Shutdown-Perioden der Coronakrise noch vergrössert. Dies, während die hiesige Bankbranche noch ungenügend gegen die Gefahr aus dem Netz gewappnet ist.
Lücken in der Abwehr
So stellte die Eidgenössische Finanzkontrolle (EFK) vergangenen November fest, dass weiterhin Lücken im Abwehrdispositiv des Finanzplatzes bestünden. Auch die Meldepflicht in Bezug auf Cybervorfälle hätten die Banken bisher nur ungenügend befolgt. Als gefährdet gelten nicht zuletzt kleinere Institute, die über weniger Cyber-Schutzwälle verfügen als grössere Konkurrenten.
Für die Erpresser im Netz, die dank eigenen Ökosystemen keinen Unterschied mehr zwischen Gross und Klein machen müssen, sind sie dann wohl ein gefundenes Fressen.
