persönlich überbrachten – weil digital
nichts ging. Ein logistischer Albtraum.
Die Arztpraxis Wood Ranch Medical
im kalifornischen Simi Valley wurde im
August Opfer eines Erpresserangriffs, von
dem sie sich nicht mehr erholen wird. Alle
Patientendaten sowie Sicherungskopien
wurden verschlüsselt. Die Großpraxis
macht im Dezember dicht. Derzeit hilft
sie den gut 5800 Patienten nur noch, neue
Ärzte zu finden.
Arztpraxen seien ein be-
liebtes Ziel, sagt Florian Oel-
maier vom Münchner Si-
cherheitsdienstleister Cor-
porate Trust. »Für die ist es
ein Horror, wenn sie plötz-
lich nicht mehr an die Be-
handlungsergebnisse der
letzten vier Wochen heran-
kommen und alle Patienten
noch einmal neu einbestel-
len müssen.«
Ein Angriff mit Ransom-
ware hat, anders als etwa
Spionage oder Datendieb-
stahl, zumeist sofortige Aus-
wirkungen, selbst im An-
fangsstadium einer Attacke.
Die Verwaltung von Neu-
stadt am Rübenberge in Nie-
dersachsen und das Kam-
mergericht in Berlin etwa
wurden bereits lahmgelegt,
noch bevor es überhaupt zu
einem Verschlüsselungsan-
griff kommen konnte. Sie
wurden Opfer von Emotet,
einer extrem gefährlichen
Schadsoftware, die häufig
als Türöffner für Ransom -
ware eingesetzt wird. Sie zu
beseitigen ist so aufwendig,
dass Stadtverwaltung und
Kammergericht gezwungen
waren, mit Stift, Papier und
elektrischen Schreibmaschi-
nen zu arbeiten. Wäre die
Infektion nicht früh erkannt
worden, hätte es mit einer
Ransomware noch schlim-
mer kommen können. Denn
wer auf einen solchen An-
griff nicht vorbereitet ist –
mit Sicherungskopien, Not-
fallsystemen und einer klug gebauten In-
frastruktur –, dem bleibt am Ende nur, zu
zahlen und zu hoffen.
Die Geschäftsleitung des Hamburger Ju-
weliers Wempe etwa fasste nach einer Er-
pressung im Sommer den Beschluss, sich
auf Lösegeld einzulassen. Unternehmens-
berater Oelmaier sagt: »Von unseren Kun-
den hat gut ein Viertel gezahlt.«
Auf die Erpresserforderungen nicht ein-
zugehen kann am Ende trotzdem teuer
werden: Der norwegische Aluminium -
konzern Norsk Hydro wurde im März
von der Ransomware LockerGoga infi-
ziert. Wochenlang mussten Teile des Un-
ternehmens manuell betrieben werden.
Norsk Hydro zahlte kein Lösegeld, bezif-
ferte die Kosten durch die eingeschränkte
Produktion aber auf mehr als 50 Millio-
nen Euro.
Chester Wisniewski, Forschungschef bei
der britischen IT-Sicherheitsfirma Sophos,
berichtet von einer Firma, die auf 2,6 Mil-
lionen Dollar erpresst worden sei. Sie wei-
gerte sich zu zahlen, auch dann noch, als
die Täter die Lösegeldforderung reduzier-
ten. »Die Wiederherstellung seiner Syste-
me hat das Unternehmen dann 2,3 Millio-
nen Dollar gekostet, es konnte zwei Wo-
chen lang nicht produzieren.«
Den oftmals erschreckend hilflosen Op-
fern stehen immer besser organisierte An-
greifer gegenüber, mit einem ausgefeilten
Geschäftsmodell. Die Kriminellen würden
sich die Aufgaben inzwischen teilen, sagt
Tilman Frosch vom IT-Sicherheitsunter-
nehmen G Data: »Eine Gruppe von Tätern
beschafft die Zugänge in die Systeme der
Opfer und verkauft sie dann in Unter-
grundforen oder über ihre eigenen Kanä-
le.« Eine andere Tätergruppe nutze diese
Zugänge dann, um darüber ihre Schadsoft-
ware zu verbreiten. Andere wiederum hät-
ten sich darauf spezialisiert, die Ransom-
ware ständig weiterzuentwickeln. Teilwei-
se werde »sogar die Gewinnbeteiligung
vorab ausgehandelt«, heißt
es im aktuellen Lagebericht
des BSI.
Die Abwehr macht mitun-
ter einen weniger professio-
nellen Eindruck. Ihre offene
Flanke: E-Mails und Men-
schen. Mitarbeiter klicken
Links an oder rufen Dateien
auf, weil sie auf kluge Weise
ausgetrickst werden. Das
BSI beobachtet eine Zunah-
me sogenannter Social-En -
gineering-Angriffe, also et -
wa zielgerichteter Phishing-
Mails, die für die Empfänger
kaum noch als solche zu er-
kennen sind.
Ein weiteres Problem:
In manchen Unternehmen
könnten die Systeme aus der
Ferne gewartet werden –
seien aber lediglich mit
schwachen Passwörtern vor
Zugriffen von außen ge-
schützt, sagt Sicherheits -
experte Frosch. »Das sind
Themen, die wir seit 20 Jah-
ren haben und die Kriminel-
le immer wieder anders aus-
nutzen. Momentan eben mit
Ransomware.«
Ausschließen lassen sich
solche Angriffe nicht. Das
Ausmaß des Schadens aber
lässt sich begrenzen. Ob
gleich die ganze Firma lahm-
gelegt wird, hängt auch da-
von ab, wie gut Unterneh-
men vorbereitet sind.
Sophos-Experte Wis-
niewski berichtet von Kun-
den aus Kanada und den
USA, die nicht damit gerech-
net hatten, jemals Opfer zu werden, und
keine Vorstellung davon hatten, was alles
ausfällt, wenn ihre Server unbrauchbar ge-
macht werden.
Während große Firmen in der Regel eine
Abteilung für IT-Sicherheit haben, sehen
mittelständische Unternehmen darin oft
bloß Zusatzkosten. Zumal Cybersecurity-
Experten deutlich mehr verdienen, als das
Gehaltsgefüge mancher Arbeitgeber hergibt.
Der Australier Patrick Gray produziert
mit Risky.biz den wohl bekanntesten Pod-
68 DER SPIEGEL Nr. 45 / 2. 11. 2019
Wirtschaft
Angriff
Erpressungssoftware (Ransomware) gelangt über das Internet
in Firmennetzwerke oder private Computer, beispielsweise
über Phishingmails. Sie verschlüsselt Dateien, Ordner oder ganze
Laufwerke. Die Opfer erhalten eine Nachricht des Erpressers.
Gegen Zahlung eines Lösegelds sollen die Dateien wieder
freigegeben werden.
Opfer
Privatpersonen,
Behörden,
Krankenhäuser,
kleine Unternehmen
oder Konzerne
wie beispielsweise
Deutsche Bahn,
FedEx, Renault und
Telefónica
Schaden
Der Aluminiumkonzern
Norsk Hydro wurde 2019
Opfer einer Ransomware
und bezifferte die
dadurch entstandenen
Kosten auf
über 50 Mio. Euro.