Es ist eine Tatsache: Der Trend geht zur Professionalisierung von Gruppen von Cyberkriminellen. Sie sind zunehmend organisiert und gliedern sich in verschiedene „Business Units“, von der Konzeption über die Verbreitung und den Support bis hin zum Verkauf. Ein Überblick über die Entstehung einer echten Schattenwirtschaft.
Das Jahr 2021 war geprägt von der Ausweitung von Ransomware auf größere Ziele oder von Bedrohungen rund um die Vertraulichkeit von Daten. Und auch die beschleunigte Professionalisierung der Gruppen von Cyberkriminellen ist niemandem entgangen: die Malware-Industrie hat sich entwickelt und mit ihr hat sich eine regelrechte Schattenwirtschaft der Cyberbedrohung mit verschiedenen Berufsgruppen strukturiert. Um dieser Bedrohung zu begegnen, die sich zunehmend organisiert und industrialisiert, müssen Unternehmen und Institutionen ständig auf der Suche nach wirksamen Gegenmaßnahmen sein. Aber sind alle Lösungen sinnvoll? Reicht eine Bug Bounty aus, um die in den Computersystemen eines Unternehmens vorhandenen Schwachstellen aufzuspüren? Ist Cyber-Lösegeldverhandler ein Beruf der Zukunft?
Computerfehler im Wert von zwei Millionen Dollar
Die Entwicklung des Marktes für Cyberangriffe ist so groß, dass „man heute zweifellos von einer Schattenwirtschaft sprechen kann“, erklärt Sébastien Viou, Direktor für Cybersicherheitsprodukte und Cyberexperte bei Stormshield. Eine Schattenwirtschaft, die jedes Jahr schätzungsweise fast 1,5 Billionen US-Dollar erbeutet. Und ein Sektor, der sich heute wie ein klassischer Markt mit seinen Marktplätzen, Kommunikations- und Vertriebskanälen organisiert, seinen Mechanismen von Angebot und Nachfrage oder Wettbewerb. Oder sogar Kataloge: Im unteren Preissegment kann man Kreditkartendaten für 10 Dollar, Anmeldedaten für 100 bis 1000 Dollar oder Malware für einige Dutzend oder Hundert Dollar erwerben. Auf der High-End-Seite befinden sich insbesondere Zero-Day-Lücken, die zu Höchstpreisen von 500.000 bis 2 Millionen Dollar gehandelt werden können. Wie in jedem Wirtschaftssektor sind die Agenten auf der Suche nach der höchsten Rentabilität. Und gehen daher von einem Produkt-/Tool-Ansatz zu einem Dienstleistungsansatz über; es ist das Zeitalter der schlüsselfertigen Malware-Kampagnen (Ransomware-as-a-Service und Malware-as-a-Service). Wenn Cyberkriminelle auf einfache Angriffe in ausreichender Zahl setzen – und dank relativ geringer Betriebs- und Infrastrukturkosten –, können sie viel Geld verdienen. So kann laut Deloitte ein billiger Cyberangriff, der 34 Dollar pro Monat kostet, bis zu 25.000 Dollar einbringen. Ein Geldsegen, der später zu einem Investitionsfonds werden kann; regelmäßig im Jahr 2021 posteten Mitglieder der Gruppe LAPSUS$ Korruptionsangebote im Netzwerk Reddit, die sich an Mitarbeiter großer Konzerne richteten, die bereit waren, ihren Zugang zum internen Netzwerk zu Geld zu machen.
Und zu allem Überfluss wenden die Gruppen von Cyberkriminellen manchmal auch Geschäftstechniken an, die denen von etablierten Unternehmen ähneln. Sébastien Viou bestätigt: „Man findet heute Abonnements, um regelmäßig Angriffsmittel zu erhalten. Sie bieten Rabatte, Sonderaktionen wie „11 Monate gekauft, einen geschenkt an“. Und einige gehen sogar so weit, dass sie Kundendienst nach dem Verkauf anbieten, fügt er hinzu.
Den Bedrohungsspezialisten gelingt es immer besser, ihre Forderungen an die Beträge anzupassen, die ihre Opfer angesichts der steigenden Wiederherstellungskosten und des Risikos einer Rufschädigung durch die Offenlegung ihrer Daten wahrscheinlich zahlen werden.
Die exponentielle Entwicklung dieses „Sektors“ wird vom Ökosystem der Ransomware getragen. „Die Gewinnsumme kann mehrere Millionen Euro betragen und dient der Finanzierung eines ganzen Systems, das sich immer stärker strukturiert, hierarchisiert und professionalisiert“, sagt Sébastien Viou. Ein (leider) hyperaktives Ökosystem, da im Durchschnitt alle 11 Sekunden ein neuer Ransomware-Angriff stattfindet. Ein Lösegeldmarkt, der „wahrscheinlich einen Gleichgewichtspunkt erreicht hat“, erklärte das Canadian Center for Cybersecurity in einem Bulletin. veröffentlicht Ende 2021. Er sagt, dass „die Bedroher ihre Forderungen immer besser an die Beträge anpassen können, die ihre Opfer angesichts der steigenden Wiederherstellungskosten und des Risikos einer Rufschädigung durch die Offenlegung ihrer Daten wahrscheinlich zahlen werden“. Diese schnell wachsende Parallelwirtschaft lässt daher bei den Akteuren der Cybersicherheit alle Alarmglocken schrillen. In der offiziellen französischen Doktrin, empfiehlt die ANSSI, kein Lösegeld zu zahlen: Dies gehört zu den ersten Ratschlägen, die den Opfern gegeben werden. In der Praxis ist diese Regel jedoch nicht immer leicht zu befolgen. Wie die französische Zeitung Le Canard Enchaîné berichtete, wurden die Gendarmen im Rahmen der Lösegeldverhandlungen für eine große internationale Schifffahrtsgesellschaft tätig, die 2020 überfallen worden war. „Das Unternehmen, das pro Ausfalltag 60 Millionen verlieren könnte, entschied sich dafür, ein paar Scheine lockerzumachen“, ironisierte das Medium. Ein Jahr später werden die Lösegelderpresser dank der von der GIGN während der Verhandlungen gesammelten Informationen in der Nähe von Kiew aufgegriffen“. Andere Institutionen oder Unternehmen gaben zu, dass sie nachgegeben haben, wie z. B. die Universität Maastricht.
Eine Situation, die die Cybersicherheitsbranche nicht untätig lassen kann. Aber mit welcher Gegenwehr?
Auf der Seite der Cybersicherheit wird der Gegenangriff organisiert
Um auf diese professionalisierte Cyberbedrohung zu reagieren, hat sich in der Tat auch die Wirtschaft im Bereich der Cybersicherheit strukturiert. Allein in Europa wurde der Markt im Jahr 2020 auf 23,7 Milliarden Euro geschätzt und soll bis 2026 schätzungsweise 43,8 Milliarden Euro erreichen.
Ein Markt und eine Branche, die bereits Anpassungsfähigkeit bewiesen hat, insbesondere mit der Entwicklung von Bug Bounties und Pen-Tests. Die Idee, die auf die Mitte der 1990er-Jahre zurückgeht, besteht darin, Belohnungen für das Aufspüren von Schwachstellen in den Computersystemen von Unternehmen auszuloben. Reicht das aus, um sich das Aufkommen eines tugendhaften Systems vorzustellen, in dem die Schwachstellen von den Herausgebern vor den Cyberangreifern erkannt werden? Nicht wirklich, denn Bug Bounties können sich zwar als wirksam erweisen, haben aber auch ihre Grenzen. Für den Cybersicherheitsforscher und Hacker Baptiste Robert „tragen sie dazu bei, die Cybersicherheit in den Medien in den Vordergrund zu rücken. Aber einige Unternehmen glauben fälschlicherweise, dass dies für ihre Verteidigung ausreicht“. Darüber hinaus ist das mit der Methode verbundene Geschäftsmodell zu kritisieren: „Jede Arbeit verdient ihren Lohn“, behauptet er. Manche Amateure oder Profis verbringen nämlich mehrere Wochen mit der Suche nach einem Bug, ohne eine Vergütung zu erhalten, wenn sie nicht erfolgreich sind. Wie der Mitbegründer von Predicta Lab feststellt, ist die Methode umso fragwürdiger, als die Teilnehmer oft relativ jung sind und in Ländern mit niedrigen Durchschnittslöhnen leben. Im Fall von Facebook werden z. B. russische und indische Forscher und Forscherinnen am häufigsten ausgezeichnet. „Ihnen wird ein potenzieller Gewinn in Aussicht gestellt, der vielleicht zum Träumen anregt, aber sie haben keine Garantie, dass sie am Ende auch bezahlt werden“, bedauert er. Einige verdienen viel (zwischen 100.000 und 1 Million Dollar), aber sie sind die Ausnahme. Umgekehrt sind die Summen, die im Darknet für den Weiterverkauf sensibler Informationen versprochen werden, oft attraktiver ...
Wie kann also sichergestellt werden, dass diese Cybersicherheitswirtschaft auf die sich verändernde Bedrohungslage reagieren kann? Eine weitere Spur wurde erforscht: die Entwicklung einer Wirtschaft rund um Ransomware. Sie beruht insbesondere auf Unterhändlern, die im Rahmen eines Ransomware-Angriffs zwischen Unternehmen und Cyberkriminellen vermitteln. Die französische Zeitung Le Monde beschreibt ihre Rolle folgendermaßen: „Sie beschränken sich nicht nur darauf, mit den Piraten zu verhandeln: Sie helfen den Opfern auch, sich besser zu organisieren, um diese Erfahrung zu überwinden, die oft wie eine lange Reise durch die Wüste erlebt wird“ . Bei der Erwähnung dieses Begriffs zuckt Renaud Feil zusammen. Der Chef von Synacktiv, einem Unternehmen, das auf Sicherheitsprüfungen spezialisiert ist, hält Verhandlungen mit Cyberkriminellen für „sehr umstritten“. Erstens, weil es eine Illusion ist zu glauben, dass wir echte Verhandlungshebel in der Hand haben. Im Gegensatz zu einer Geiselnahme, bei der der Angreifer einem großen oder sogar lebensbedrohlichen Risiko ausgesetzt ist, wenn sich die Behörden einmischen, wissen Cyberangreifer, dass das Kräfteverhältnis eher zu ihren Gunsten ist“, erläutert er. Aber welchen Platz haben dann die Verhandlungsmittler? Sollten sie verboten werden? Die Pariser Staatsanwaltschaft hat eine Abteilung für Cyberkriminalität eingerichtet, die verhindern soll, dass diese Art von Vermittlern von Ransomware leben kann, wie Hauptmann Paul-Alexandre Gillot auf dem FIC 2021 erklärte. Die Frage, ob sie verboten werden sollten, stellte und stellt sich immer noch.
Cyber-Vollkaskoversicherung – eine falsche gute Idee?
Ist die Beauftragung eines Versicherers, der die Folgen eines Cyberangriffs abdeckt, wie bei jedem anderen Schadensfall auch, die Wunderlösung? Der CEO von Synacktiv begrüßt die Initiative, bevorzugt aber staatlich versicherte Entschädigungen nach dem gleichen Modell, das es bei Naturkatastrophen gibt. „Mehrere Versicherungen haben versucht, in diesen Markt einzusteigen“, sagt Renaud Feil. Sie weigerten sich jedoch schließlich, das Lösegeld zu zahlen. Die meisten haben aufgehört, da das Risiko und die Kosten für die Versicherung sehr hoch und für die Zukunft schwer vorhersehbar sind“. Sébastien Viou teilt diese Zurückhaltung: „Es gibt Unternehmen, die zwei Jahre nach einem Angriff immer noch kein Geld von ihrer Versicherung erhalten haben. Außerdem erscheint es prinzipiell schlüssig, sich gegen den Diebstahl seines geistigen Eigentums in einem Unternehmen zu versichern. Wenn die Versicherung jedoch das Lösegeld bezahlt, ist sie dann nicht ein Komplize? Unterhält sie nicht das Geschäft mit Ransomware? “
Dies ist die Feststellung von Guillaume Poupard, Direktor der ANSSI. Während eines Treffens zum Thema Cybersicherheit von Klein- und Mittelbetrieben, das im April 2021 stattfand, zögerte er nicht, das „trübe“ Spiel einiger Versicherer anzuprangern. Er ist der Meinung, dass die Zahlung eines Lösegelds für einen Versicherer rational erscheinen mag, doch dieser Ansatz erweist sich seiner Meinung nach als kontraproduktiv. „Diese Akteure müssen bekämpft werden, da sonst ein regelrechtes Ökosystem entsteht“, warnt Guillaume Poupard. In Frankreich beschäftigt sich die Regierung seit einigen Monaten mit dem Thema und erwägt ein Verbot von Lösegeldzahlungen durch Versicherungen oder sogar ein Verbot solcher Cyberversicherungen.
Der Markt könnte aber genauso gut von selbst zusammenbrechen. Im Januar 2022 stiegen die Preise für diese Versicherungen exponentiell an, mit Steigerungen von ... bis zu 100 %. Es heißt „Friss oder stirb“. wie es die AGEFI treffend zusammenfasst. Manche fragen sich, ob diese neuen Tarife nicht das Ende eines Angebots bedeuten. „Vor fünf Jahren drängten sich die Versicherer, um Cyberversicherungspolicen zu verkaufen. Von nun an werden diese ausgehöhlt. Abgesehen von den Tariferhöhungen ist das Problem die Fähigkeit und der Appetit der Versicherer, Risiken einzugehen“, erkannte Oliver Wild, Vorsitzender des Verbands für Risikomanagement und Unternehmensversicherungen (Association pour le management des risques et assurances de l'entreprise). Die Cyberversicherungen müssen sich aber auch mit einem anderen Problem auseinandersetzen, das von den Cyberkriminellen selbst ausgeht. Je nachdem, welche Informationen sie sammeln können, berücksichtigen sie bei der Auswahl der Ziele, ob eine Versicherung vorhanden ist oder nicht, aber auch bei der Höhe der Lösegeldforderungen. Der Preis des Ruhms für Cyberversicherungen?
Was kann man also tun, um die Entwicklung eines Parallelmarktes, der kaum oder gar nicht reguliert wird, zu verhindern? Für Baptiste Robert ist es wichtig, sich daran zu erinnern, dass „es keine maximale Sicherheit gibt. Man kann von einem tugendhaften System träumen, in dem Schwachstellen frühzeitig entdeckt werden und keine Website oder kein System gehackt werden kann, aber das ist unrealistisch“. Für den Forscher ist die beste mögliche Lösung immer noch, den Angreifern Eintrittsbarrieren zu setzen und zu versuchen, sie so weit wie möglich zu „demotivieren“. Und dafür zu sorgen, dass die Kosten eines Cyberangriffs höher bleiben als sein potenzieller Nutzen.