Der Business Plan von Cyberkriminellen
Cybercrime ist Big Business. Betroffen davon sind aber nicht nur grosse Konzerne, sondern gerade auch KMUs und Gemeinden wie beispielsweise die Schweizer Gemeinde Rolle im Jahr 2022. Aus der etwas zynischen Perspektive der Kriminellen zeigen wir Gefahren auf.
Welche Möglichkeiten haben wir als Cyberkriminelle um zum begehrten Geld zu kommen? Diebstahl und Erpressung bieten sich besonders an. Wir können beispielsweise…
- …schützenswerte Informationen kopieren und den Eigentümer mit der Offenlegung erpressen.
- …schützenswerte Informationen kopieren und an den Meistbietenden verkaufen.
- …schützenswerte Informationen entwenden - das heisst nicht nur kopieren, sondern auch aus dem Zugriff des Eigentümers entfernen - und den Eigentümer für die Rückgabe erpressen.
- …unbemerkt Geld entwenden.
- …uns als Dienstleister von anderen Staaten und Organisationen für Sabotageakte, Diebstahl usw. bezahlen lassen.
Für jedes dieser Szenarien analysieren wir im Schnellzugtempo nachfolgend echte Beispiele und ziehen erste Schlüsse daraus. Wir möchten den von den Angriffen Betroffenen hier auch indirekt unseren Dank und Respekt aussprechen, dass sie zu Gunsten der restlichen Volkswirtschaft Angaben zu ihren Erlebnissen öffentlich gemacht haben oder einen Einblick in die Geschehnisse gewähren. Denn mit Demut müssen wir anerkennen, dass eine absolute Sicherheit unerreichbar ist und es jeden treffen kann. Die Veröffentlichung von solchen negativen Erfahrungen hilft Anderen, auf die Gefahren aufmerksam zu werden und sich zu schützen.
Bevor wir auf die Beispiele eingehen, bestimmen wir aber wie bei einem Business Plan üblich als erstes noch die Grösse des Marktes. Wie fast immer in der Marktforschung kann das Volumen nur geschätzt werden und die Schätzungen können aufgrund von Eigeninteresses der Publizisten auch übertrieben werden. Wir nennen hier Schätzungen von Senior Lecturer Michael McGuire von der Universtität Surrey und lassen diese im Raum stehen.
Denn ob es effektiv die Hälfte oder doch das Doppelte sein könnte, spielt angesichts der Dimensionen für unsere weitere Geschichte keine Rolle. Es zeigt, es ist richtig viel Geld im Spiel, fast egal wie hoch der Schätzfehler vermutet wird. Ein Markt für die Kriminellen ist also vorhanden.
Veröffentlichung von Betriebsgeheimnissen der Stadler Rail
Über den hier beschriebenen Vorfall hat die Firma Stadler Rail die Öffentlichkeit im Jahr 2020 via Medienmitteilung informiert. Die Angreifer verlangten gemäss SwissInfo rund CHF 6 Mio. und drohten andernfalls mit der Veröffentlichung der gestohlenen Dokumente. Nachdem sich die Firma geweigert hatte, wurde ein „erster Teil“ der Dokumente auch veröffentlicht, darunter Bank- und Kreditverträge sowie Steuervereinbarungen mit dem Kanton Thurgau. Es sollen mehrere Rechner mit Schadsoftware infiziert worden sein.
Verkauf von bei HomeDepot gestohlenen Daten
Doch Stadler Rail wollte nicht bezahlen. Lassen sich Informationen allenfalls im Markt an die Meistbietenden verkaufen? Dies dürfte bei manchen Geschäftsgeheimnissen möglich sein, aber am besten dokumentiert ist dabei der Markt für gestohlene Kreditkartennummern. In einem der grössten Fälle verlor 2014 beispielsweise der Detailhandelsriese HomeDepot 56 Millionen (!) Kreditkartennummern ihrer Kunden. Der Vorfall ist übrigens nicht zu verwechseln mit dem jüngeren Kreditkartendiebstahl eines Mitarbeitenden von HomeDepot, der über privilegierten Zugang zu temporären Kreditkartennummern verfügte.
Eine einzelne gestohlene Kreditkarteninformation kostet gemäss Forbes derzeit zwischen USD 5 und USD 150, abhängig davon, wie viele Informationen neben der eigentlichen Nummer mitgeliefert werden.
Der Konkurs von SwissWindows und das verletzliche Gesundheitswesen
Nicht alle Informationen sind so schützenswert, dass sie an den Meistbietenden verkauft oder sind so delikat, dass die Veröffentlichung unbedingt vermieden werden muss. Daher geht Ransomware heute zweistufig vor. Zuerst werden die Informationen kopiert, danach verschlüsselt und damit für das Opfer unbrauchbar gemacht. So hat der Cyber-Kriminelle zwei Chancen: ein Erpressungsversuch für die Wiederherstellung der Daten. Und falls das Opfer diese über Backups wiederherstellen kann droht im zweiten Versuch die Erpressung betreffend der Veröffentlichung.
Im Jahr 2019 geht die Firma SwissWindows mit 170 Angestellten wegen einem solchen Cyberangriff Konkurs. Das Fensterbauprogramm des Fensterproduzenten wird inkl. allen Kunden- und Maschinendaten verschlüsselt. Backups wurden zwar erstellt, doch nicht ausserhalb der eigenen IT-Infrastruktur gelagert und somit gleich mitverschlüsselt und sind ebenfalls unbrauchbar. Da man kein Lösegeld zahlt ist eine Wiederherstellung nicht möglich. Ein Produktionsausfall von einem Monat ist die Folge, darauf werden Konventionalstrafen aufgrund ausbleibenden Lieferungen fällig, am Ende ist kein Geld mehr da und es muss Konkurs angemeldet werden.
Schlimm. Doch wenn niemand auf eine Erpressung zahlt, gibt es kein Geschäftsmodell, richtig? Theoretisch wohl ja, doch sehen sich viele Organisationen nicht in der Lage, nein zu sagen. Besonders angreifbar sind Spitäler und Gesundheitsdienstleister. Regelmässig werden Fälle bekannt, bei denen ein Spital sich freikaufen musste. Beispielsweise hat das Massachusets Hospital zugeben müssen, für die Herausgabe und von den Kriminellen zugesicherte Löschung ihrer Patientendaten bezahlt zu haben.
Beide Beispiele zeigen, dass es sich bei der Bezahlung von Lösegeld um eine moralisch schwierige Frage handelt. Darf Lösegeld nie bezahlt werden? Oder ist es ausnahmsweise vertretbar, wenn eine Firma mit über hundert Mitarbeitenden vor dem Ruin steht? Oder ist es dann erlaubt, wenn das Menschenleben von Patienten im Spital am seidenen Faden hängen? Und auch wer im Grundsatz dagegen ist Lösegelder zu zahlen, könnte allenfalls nochmals neu überlegen, wenn es seine Firma ist, die vor dem Ruin steht oder er gerade im Notfall des Spitals für eine dringende OP eingeliefert wird. Am besten tun wir alles, um durch Gegenmassnahmen gar nicht in die Lage zu kommen, unsere Antwort zu finden.
Eine Gemeinde überweist USD 430‘000
Erpressung hat also einen Haken: das Opfer kann „nein“ sagen. Also wieso überweisen wir uns das Geld nicht gleich selbst? Ein besonders ausgeklügelter Fall hat 2019 die US Gemeinde WestLake-Gladstone dazu gebracht, aus einem Jahresbudget von 7 Mio. USD fast eine halbe Million USD an eine unbekannte kriminelle Organisation auszuzahlen. Quasi ganz normal per Überweisung. Ausgesucht hatte man sich ganz gezielt die Ferientage. Mehrere kleinere Überweisungen von jeweils weniger als USD 10‘000 konnten so unbemerkt während 17 Tagen ausgeführt werden, bis der Abfluss entdeckt und gestoppt wurde. Weitere USD 50‘000 konnten so gerade noch gerettet werden, der Rest des Geldes ist weg.
Wenn ganz normale Geldüberweisungen getätigt wurden, dann können die Empfänger doch ausfindig gemacht werden? Nein, nicht wenn man dazu ein dutzend ahnungslose Privatpersonen rekrutiert. In Nordamerika häufen sich dazu zuletzt Meldungen zu erfundenen Stellenanzeigen. Dabei werden über Inserate in normalen Jobbörsen sowie gezielt über soziale Netzwerke Stellenlose identifiziert und ein Jobangebot unterbreitet. Die Firmen verfügen über Webseiten, ihre Briefe haben übliche Briefköpfe und sind von wichtig klingenden Personen unterzeichnet. Es werden auch Handelsregisternummern der Firma abgedruckt. Alles sieht völlig normal aus. Die Stellen sind attraktiv, denn - durchaus nicht mehr unüblich heutzutage - können die Mitarbeitenden im Homeoffice arbeiten. Dreisterweise werden dann auch ein oder gar mehrere Interviews durch den HR-Verantwortlichen oder der vermeintliche Vorgesetzte geführt, in denen die Kandidaten interviewed werden. Wie ist ihr Werdegang? Welche Berufserfahrung und Ausbildung haben sie? Danach unterzeichnen Sie glücklich ihren vermeintlich normalen Arbeitsvertrag.
Danach werden sie eingearbeitet und erhalten auch erste Aufträge. In der Regel sind dann irgendwelche Zahlungen abzuwickeln und - weil irgendetwas formelles im Mitarbeiter-Anstellungsprozess noch nicht von der HR- oder Finance-Abteilung erledigt sei - sollen sie schon mal mit einem privaten Konto etwas tun und danach als Spesen abrechnen. Oder so. Und falls sich die neuen Mitarbeitenden weigern Transaktionen im Namen der Firma privat abzuwickeln, sollen sie sonst schon mal gemäss der „Bring your own Device“-Policy ihr neues Notebook über einen bestimmten Webshop auswählen und kaufen, mit privater Kreditkarte bezahlen und dann über eine Spesenabrechnung abrechnen.
Im Beispiel der Gemeinde WestLake-Gladstone wurden 18 Personen angeheuert, welche Zahlungen der Gemeinde entgegennahmen, in Bitcoin umwandelten und an die Kriminellen weiterleiteten. Und das natürlich im Unwissen, was sie taten. Besonders beliebte Ziele sind dabei frisch eingewanderte Personen, die auf dem Arbeitsmarkt noch keinen Fuss fassen konnten und die mit den ortsüblichen Gepflogenheiten im nicht vertraut sind. Über diese Umwege wurden die Spuren verwischt, es konnten nur noch die 18 ausgenutzten, fiktiven Angestellten ausfindig gemacht werden.
Doch wie kamen die Zahlungen der Gemeinde zustande? Offenbar fiel mindestens ein Mitarbeitender der Gemeinde auf eine Phishing-Email herein und klickte auf einen Link. Nachdem dieser Arbeitsplatz infiziert war, arbeiteten sich die Angreifer vor. Im vorliegenden Fall scheinen sie dabei mindestens einen Teil der E-Banking Zugangsdaten gefunden zu haben. Sie änderten darauf noch das E-Banking Passwort und alle Verifizierungsfragen. Und dann begannen Sie, eine Serie kleinere Beträge an ihre fiktiven „Mitarbeitenden“ zu überweisen, welche nicht sofort auffallen würden. Und dank der Ferienperiode dauerte es 17 Tage, bis der Abfluss gestoppt wurde.
Ist der E-Banking-Zugriff für so ein Angriffsszenario zwingend? Eher nicht, aber es dürfte in den meisten Firmen Kontrollschritte überspringen. Denkbar wäre aber auch, im ERP-System fiktive Kreditoren und Kreditorenbelege anzulegen. Je nach Berechtigung der kompromittierten Benutzeraccounts kann man diese allenfalls selbst freigeben oder zumindest mit üblich scheinenden eingekauften Leistungen und unauffälligen Summen einspeisen und auf unkritische Freigabe hoffen.
Oder in einem noch seltenen, aber doch interessanten Fall, welcher die Zukunft der Social Engineering-Angriffe skizziert, wurde ein Mitarbeiter vom CEO per Telefon angewiesen, einem Lieferanten 220‘000 britische Pfund zu überweisen. Mittels künstlicher Intelligenz wurde dabei die Stimme des CEO derart gut nachgemacht, dass der Mitarbeitende völlig überzeugt davon war, mit dem CEO persönlich gesprochen zu haben und überwies die Summe.
Ransomware-as-a-Service
Und die letzte dargestellte Möglichkeit um mit Cyber-Kriminalität zu Geld zu kommen, ist sich als krimineller Dienstleister zu positionieren. Zum Beispiel mit einem Ransomware-as-a-Service können auch diejenigen einen Ransomware-Angriff starten, die selbst dazu nicht in der Lage wären. Die kürzlicher veröffentlichten Ergebnisse der Infiltration der Hacker-Gang LockBit durch den Sicherheitsspezialisten Jon DiMaggio gibt einen interessanten Einblick in das Geschäftsmodell. Es bildet sich eine dezentrale Organisation mit Erfolgsbeteiligungen heraus. Und sogar ein Bug Bounty-Schema wurde lanciert. 1 Million US Doller wurde ausgesetzt für diejenigen Forscher oder Kriminellen, welche aufgrund von Sicherheitslücken bei LockBit herausfinden können, wer hinter ihrem Avatar “LockBitSupp” steht.
Für das Opfer verhalten sich Angriffe nicht wesentlich anders mir Ransomware-as-a-Service. Doch der Kreis gut mit professionellen Werkzeugen ausgestatteter Angreifer weitet sich so aus.
Welche Gegenmassnahmen sind zu ergreifen?
Leider gibt es keine einfache Antwort. Müsste man dennoch auf eine Aussage reduzieren; in der Schweiz besteht im Verwaltungsrat einer Unternehmnung die Pflicht zu einem unternehmensweiten, integralen Risikomanagements. Die Risiken der Informationssicherheit müssen heute Teil jedes unternehmensweiten, integralen Risikomanagements sein und dürfen nicht einfach unkritisch der „IT Abteilung“ überlassen werden.
Was lernen wir aus den beschriebenen Beispielen von Angriffen? Professionelle, technische Schutzmassnahmen nützen. Beispielsweise ein gut funktionierendes Backup auf ausreichend abgetrennter Infrastruktur macht die Datenwiederherstellung nach einem Ransomware-Angriff möglich, verhindert jedoch keinen Datendiebstahl.
Aber neben dieser technischen Sicht müssen wir aus den Beispielen auch zur Kenntnis nehmen, dass sich die Angriffe nicht mehr nur gegen technische Systeme richten, sondern heute vermehrt und immer dreister direkt auf die Menschen richtet. Frei zitiert vom über den Film „Catch me if you can“ berühmt gewordenen, geläuterten und heute langjährigen FBI Agenten Frank Abagnale: „Am Anfang jedes Sicherheitsvorfalls steht ein Mensch, der etwas getan hat, was er nicht hätte tun dürfen oder der etwas nicht tat, was er hätte tun müssen.“ Die technischen Systeme werden immer sicherer. Die Mitarbeitenden halten damit nicht Schritt Und werden zum primären Angriffsziel. Wer klickt auf Links in gefälschten Emails? Die Menschen, welche sie empfangen. Wer erfasst im Auftrag eines CEO eine Überweisung im E-Banking? Ein Mensch. Wer führt für jedes Benutzerkonto ein a) separates und nie mehrfach verwendetes, b) geheim gehaltenes, c) zufällig kombiniertes, d) mit Gross- und Kleinbuchstaben sowie Sonderzeichen ausgestattetes und e) mindestens 8-stelliges (besser längeres) Passwort? Leider (fast) niemand. Es dürften noch viele weitere Vorfälle folgen.