{"id":17973,"date":"2022-06-07T08:00:00","date_gmt":"2022-06-07T06:00:00","guid":{"rendered":"https:\/\/difue.de\/?p=17973"},"modified":"2022-06-08T09:08:56","modified_gmt":"2022-06-08T07:08:56","slug":"ransomware-interview-tim-berghoff","status":"publish","type":"post","link":"https:\/\/difue.de\/en\/news\/gefahrenschutz\/ransomware-interview-tim-berghoff\/","title":{"rendered":"Ransomware: “Ein Gesch\u00e4ft f\u00fcr jedermann”"},"content":{"rendered":"
\t\n

Erpressung ist ein lukratives Gesch\u00e4ft. Das gilt auch und vor allem f\u00fcr die digitale Welt. Jedes Jahr werden mehr Unternehmen Opfer von Angriffen mit Erpresser-Software, auch bekannt als Ransomware. Im DiF\u00fc-Podcast “D wie Digital” spricht Tim Berghoff, IT-Spezialist und “Security Evangelist” beim IT-Sicherheitsunternehmen G Data, \u00fcber das Gesch\u00e4ftsmodell Ransomware, die Menschen dahinter und warum das Thema uns alle angeht. Hier ist das Interview zum Nachlesen. <\/em> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

DiF\u00fc News: Wurden Sie schon einmal digital erpresst?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Tim Berghoff: Ich pers\u00f6nlich gl\u00fccklicherweise nicht. Ich habe allerdings im Bekanntenkreis durchaus schon F\u00e4lle von Erpressung gehabt. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Sie sind ein “Security Evangelist” und verbreiten die frohe Kunde der IT-Sicherheit – haben Sie im Moment viel Gutes zu berichten?<\/strong> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ein Evangelist \u00fcberbringt die gute Nachricht, wie Sie sagen. Das ist nat\u00fcrlich unter den gegebenen Umst\u00e4nden der letzten ein bis zwei Jahre nicht immer so einfach. Aber: Wenn wir uns die IT-Sicherheitssituation anschauen, gibt es eine ganze Menge, was potenziell Betroffene tun k\u00f6nnen. Und das muss gar nicht unbedingt hochtrabend oder kompliziert oder teuer sein. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wie war zuletzt die Cyber-Sicherheitslage insgesamt?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Im Jahr 2021 hat sich ein Trend aus 2020, also dem ersten Jahr der Corona-Pandemie, nahtlos fortgesetzt. Kriminelle sind verst\u00e4rkt aktiv geworden, auch im Hinblick auf Ransomware, und sie gehen immer gezielter gegen einzelne Ziele vor. Im Moment gibt es nur wenig Anzeichen, dass sich das in n\u00e4chster Zeit \u00e4ndert. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Diese Einsch\u00e4tzung deckt sich mit aktuellen Nachrichten und Studien zum Thema Ransomware. Ist das aus Ihrer Sicht im Moment die gr\u00f6\u00dfte Cyber-Bedrohung, mit der wir es zu tun haben?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das ist ohne Zweifel eine der gr\u00f6\u00dften Bedrohungen, die wir im Moment haben. Wir haben im Jahr 2019 ungef\u00e4hr 188 Millionen Angriffe dieser Art verzeichnen k\u00f6nnen. Im Jahr 2020 waren wir dann schon bei rund 300 Millionen, das hat sich also deutlich erh\u00f6ht.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wie m\u00fcssen wir uns diese Angriffe vorstellen? Ist an dem Klischeebild vom Hacker mit Kapuze im dunklen Raum vor einem leuchtenden Screen was dran? Oder l\u00e4uft das alles viel professioneller ab?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ransomware ist mittlerweile in erster Linie eine Dienstleistung, die sich au\u00dferhalb des legalen Rahmens bewegt. Und sie ist ein lukratives Business geworden. Wir haben Zulieferer, die die eigentliche Ransomware entwickeln. Die haben auch eine eigene Qualit\u00e4tssicherung. Es gibt Eink\u00e4ufer und Verk\u00e4ufer, es gibt Distributoren und nat\u00fcrlich Abnehmer, die f\u00fcr die Zahlung eines bestimmten Betrages diese Leistungen in Anspruch nehmen. <\/p>\n<\/div><\/div><\/div>\n\n\n

\n\t
\n\t\t
\n\t\t\t
\n\n\t\t\t\t
\n\n\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
Ransomware as a Service (RaaS)<\/div>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t

Ransomware als Dienstleistung ist ein “as a Service”-Gesch\u00e4ft. Bei “aaS” geht es immer darum, dass Angebote zur Verf\u00fcgung gestellt werden, f\u00fcr die die Auftraggeber selbst keine F\u00e4higkeiten oder Kapazit\u00e4ten haben. Beispiele aus der Welt des Cloud Computing<\/a> sind etwa “Software as a Service (SaaS)” oder “Infrastructure as a Service (IaaS)”. Auftraggeber k\u00f6nnen \u00fcber die Cloud Programme (SaaS) oder etwa Speicher oder Rechenleistung (IaaS) nutzen, die sie selbst nicht besitzen.<\/p>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t

<\/p>\n

Das hei\u00dft, ich als Abnehmer muss gar nicht wissen, wie man so etwas programmiert. Das ist also im Prinzip so, als w\u00fcrde ich im echten Leben als Entf\u00fchrer L\u00f6segeld erpressen, aber die Menschen gar nicht selbst kidnappen, sondern die Entf\u00fchrung nur in Auftrag geben?<\/strong><\/p>\n

 <\/p>\n

<\/p>\n

Genau, das ist eine M\u00f6glichkeit, dass ein Anbieter ein Rundum-Sorglos-Paket verkauft und hinterher einen Teil des L\u00f6segeldes als Bezahlung f\u00fcr sich einbeh\u00e4lt. Eine andere M\u00f6glichkeit w\u00e4re, dass ein Dienstleister in diesem Bereich alle Mittel zur Verf\u00fcgung stellt, die ein T\u00e4ter f\u00fcr die Aus\u00fcbung der Tat braucht, also etwa Fahrzeuge und Informationen, und daf\u00fcr wird dann entsprechend bezahlt. Beide Bilder funktionieren und ihnen ist gemeinsam, dass ich als T\u00e4ter kein St\u00fcck Programmierkenntnisse brauche – ich muss kein “Computer Crack” sein, um in diesem Business aktiv werden zu k\u00f6nnen.<\/p>\n

<\/p>\n\n\t\t\t\t<\/div>\n\n\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n<\/section>\n\n\n

\t\n

Erpresser-Software ist also ein Gesch\u00e4ft f\u00fcr jedermann. Wer sind die Menschen hinter den Ransomware-Angriffen?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Meistens sind das Menschen, die in erster Linie wirtschaftlich motiviert sind. Das hei\u00dft, die versuchen, so viel Geld wie m\u00f6glich in so wenig Zeit wie m\u00f6glich zu machen. Es gibt nat\u00fcrlich auch andere Angreifer, die etwa von staatlichen Organisationen gelenkt werden. Der wesentliche Unterschied zwischen den beiden ist, dass in einem wirtschaftlichen Umfeld auch nach wirtschaftlichen Regeln operiert wird. Das hei\u00dft: Eine T\u00e4tergruppe, die sich einen bestimmten Gewinn von einer Erpressung verspricht, ist nur bereit, einen gewissen “Invest” darin zu t\u00e4tigen. Wenn ein Angriff zu teuer oder zu aufwendig wird f\u00fcr das, was hinterher dabei rauskommt, wird er nicht stattfinden – eine klassische Kosten-Nutzen-Abw\u00e4gung.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wie muss ich mir einen Ransomware-Angriff vorstellen?<\/strong> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ein Modus Operandi, den wir relativ h\u00e4ufig sehen, ist: Angreifer schauen von au\u00dfen auf bestimmte Aspekte in IT-Systemen. Sie bauen etwa einen automatisierten Scan, der das gesamte Internet oder einen bestimmten Bereich des Internets nach Systemen absucht, die von au\u00dfen erreichbar sind, etwa Email-Server oder Terminal-Server. Dann schauen sie, ob sie etwa durch das Raten von Zugangsdaten Zugang zu einem Netzwerk finden.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das Raten von Zugangsdaten – also etwa von schlechten, unsicheren Passw\u00f6rtern?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Genau. Das ist ein Dauerbrenner-Thema in der Sicherheitsbranche: eine vern\u00fcnftige Passwort-Hygiene<\/a>. Mittlerweile sollte es bei jedem angekommen sein, dass ein Passwort wie “123456” einfach keine gute Idee ist. Solche Passw\u00f6rter lassen sich automatisiert wunderbar durchprobieren.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Und wenn das nicht zum Erfolg f\u00fchrt, welche Wege gibt es noch?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ein zweiter Modus Operandi, den wir immer wieder sehen und der ebenfalls ein Dauerbrenner ist, ist das Versenden von pr\u00e4parierten E-Mails. Die k\u00f6nnen etwa mit einer entsprechenden Formulierung einen Nutzer oder eine Nutzerin zur Preisgabe bestimmter Informationen auffordern, zum Beispiel von Zugangsdaten. Das kann aber auch genauso gut ein pr\u00e4parierter E-Mail-Anhang sein, der sich als vermeintlicher Lieferschein oder Rechnung ausgibt.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

In diesem Fall reden wir dann von Phishing<\/a> und Social Engineering, also menschlicher Manipulation.<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ganz genau. Das sind Taktiken, die seit Jahren wunderbar funktionieren. Und sobald dieser Ansatz einmal funktioniert hat, haben die T\u00e4ter in der Regel viel Zeit und Mu\u00dfe, sich im kompromittierten Netzwerk umzuschauen. Dann ist es nur eine Frage der Zeit, bis eine entsprechende Ransomware aktiv wird oder andere Unregelm\u00e4\u00dfigkeiten auftreten. Das k\u00f6nnen Stunden sein, teilweise aber auch einige Monate. Das hei\u00dft: Wer heute einen pr\u00e4parierten E-Mail-Anhang \u00f6ffnet, hat vielleicht daf\u00fcr gesorgt, dass in zwei, drei Monaten der gesamte Betrieb stillsteht.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Die T\u00e4ter verschaffen sich also erst einmal Zugang, machen aber noch nichts. So wie wenn sich ein Einbrecher erst einmal umschaut, aber noch gar nichts mitnimmt. Und wann kommt dann die Ransomware?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das Nachladen der Ransomware ist erst der letzte Schritt. Bis es dazu kommt, haben sich die T\u00e4ter in der Regel schon einen sehr guten \u00dcberblick dar\u00fcber verschafft, mit wem sie es zu tun haben. Die kennen das Netzwerk dann mindestens genauso gut oder sogar besser als der lokale Administrator. Und sie kennen die wirtschaftliche Situation des angegriffenen Unternehmens und passen ihre L\u00f6segeldforderungen darauf an – denn die T\u00e4ter sind nat\u00fcrlich an einer Zahlung interessiert. Dazu kommt noch ein weiterer Aspekt: Mittlerweile fahren die T\u00e4ter oft zweigleisig. Sie verschl\u00fcsseln einerseits die Daten und verlangen Geld f\u00fcr die Entschl\u00fcsselung. Andererseits drohen sie mit der Ver\u00f6ffentlichung von Daten, die sie sich vorher beiseite geschafft und auf eigene Systeme kopiert haben.<\/p>\n<\/div><\/div><\/div>\n\n\n

\n\t
\n\t\t
\n\t\t\t
\n\n\t\t\t\t
\n\n\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t
Wie wird man zum Ransomware-Opfer?<\/div>\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\t\t\t

Software-Erpresser haben es vor allem auf Unternehmen abgesehen, weil hier das meiste Geld zu holen ist, sagt Tim Berghoff – bei “sauberer Arbeit” sechs- bis achtstellige Betr\u00e4ge. Die T\u00e4ter:innen greifen laut dem IT-Experten gerne kleine und mittelst\u00e4ndische Unternehmen an, weil die oft das Risiko untersch\u00e4tzen, selbst zum Opfer zu werden und sich deshalb nicht gut genug gegen Angriffe sch\u00fctzen.<\/p>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t\t

<\/p>\n

Denken Sie, dass die T\u00e4ter generell ein zu leichtes Spiel haben?<\/strong><\/p>\n

 <\/p>\n

<\/p>\n

In einigen F\u00e4llen mit Sicherheit. Das liegt auch daran, dass viele Unternehmer sich nicht genug Gedanken dar\u00fcber machen, wie sie im Notfall reagieren, wenn sich die Ransomware auf dem Bildschirm zeigt. An dem Punkt ist eigentlich alles schon zu sp\u00e4t. Da sollte man als Unternehmen den fertigen Notfallplan aus der Schublade holen und umsetzen. In vielen F\u00e4llen ist die Vorgehensweise aber eher reaktiv, anstatt proaktiv zu sagen: F\u00fcr den Fall, dass X eintritt, tun wir Y.<\/p>\n

 <\/p>\n

<\/p>\n

Den Schaden haben in erster Linie die Unternehmen. Haben Sie auch Beispiele f\u00fcr solche Angriffe, in denen Ransomware-Angriffe sich auch auf viele andere Menschen ausgewirkt haben?<\/strong><\/p>\n

 <\/p>\n

<\/p>\n

Grunds\u00e4tzlich ist es nat\u00fcrlich einfach, sich als Privatperson davon zu distanzieren. Aber gerade im Bereich der kritischen Infrastruktur kann uns das auch ganz unmittelbar betreffen. Anfang vergangenen Jahres wurde etwa eine Supermarktkette in Schweden angegriffen, die auch zeitgleich einige Tankstellen betrieben hat. Das klingt erstmal nicht dramatisch, aber in der Praxis hie\u00df das, dass die Tankstellen nicht ge\u00f6ffnet waren. Das hei\u00dft, Leute konnten nicht einkaufen und nicht tanken. In Deutschland gab es einen \u00e4hnlichen Fall beim Angriff auf Media-Saturn zum Beispiel. Da wird dann die Warenwirtschaft lahmgelegt, und das betrifft uns unmittelbar.<\/p>\n

<\/p>\n\n\t\t\t\t<\/div>\n\n\t\t\t<\/div>\n\t\t<\/div>\n\t<\/div>\n<\/section>\n\n\n

\t\n

Ein passendes Beispiel dazu ist der Angriff auf die Colonial-Benzin-Pipeline in den USA in 2021. In dem Fall hat das Unternehmen ein sehr hohes L\u00f6segeld bezahlt. Ist das der beste Weg, den Schaden abzuwenden?<\/strong> <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das Zahlen eines L\u00f6segeldes ist immer und unter allen Umst\u00e4nden die schlechteste denkbare L\u00f6sung. Ich kann verstehen, wenn jemand eine Rechnung macht und die hohen Kosten der Datenwiederherstellung und des Produktionsausfalls gegen die vielleicht niedrigere L\u00f6segeld-Forderung aufrechnet. Wirtschaftlich ist das nachvollziehbar. Allerdings ist nicht klar, dass man nach Zahlung eines L\u00f6segeldes seine Daten wiederbekommt oder dass geheime Daten nicht doch ver\u00f6ffentlicht werden. Auf das T\u00e4terwort kann man sich kaum verlassen. Es gibt nat\u00fcrlich Grenzf\u00e4lle, in denen man eine L\u00f6segeldzahlung nachvollziehen kann, etwa wenn ein Unternehmen sonst sicher pleite geht. Das \u00e4ndert allerdings nichts an der Pr\u00e4misse, dass eine Zahlung immer und unter allen Umst\u00e4nden der schlechteste Ausweg ist.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Wie bek\u00e4mpft man Cyber-Erpresser? Kann man die Personen im digitalen Raum \u00fcberhaupt fassen oder kann man eigentlich nur die Software unsch\u00e4dlich machen?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das kommt auf die T\u00e4tergruppe und das Netzwerk an. Die T\u00e4ter haben ihre eigenen Infrastrukturen und ihre eigenen Kommunikationswege genau darauf ausgerichtet. Wer den Programmcode schreibt, wei\u00df in der Regel nicht, wer die Ransomware verkauft. Der wei\u00df wiederum nicht, wer das Ding kauft und gegen wen es eingesetzt wird. Die einzelnen Glieder innerhalb dieser Kette kennen sich untereinander oft \u00fcberhaupt nicht. Wenn keiner vom anderen wei\u00df, kann niemand umfassende Informationen preisgeben. Das hei\u00dft, ich kann vielleicht einen T\u00e4ter schnappen, der die Software angesto\u00dfen hat. Aber wer sie verkauft oder vertrieben oder geschrieben hat, ist wirklich nur sehr schwer herauszubekommen. Das k\u00f6nnen auch einige Kollegen und Kolleginnen aus der Strafverfolgung best\u00e4tigen. Teilweise ziehen sich Ermittlungsverfahren \u00fcber Jahre – und manchmal kommen sie dann auch sehr medienwirksam zu einem Abschluss – zum Beispiel, als die Emotet-Software Anfang 2021 einstweilen vom Netz genommen worden ist.<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

<\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Ende 2021 kam die Nachricht, dass Emotet zur\u00fcck ist. \u00c4hnlich war es bei der Erpressergruppe REvil, die nach ihrer Zerschlagung wieder auf den Plan getreten ist. Kann man dieses Katz-und-Maus-Spiel \u00fcberhaupt gewinnen?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Das w\u00fcrde ja implizieren, dass ein Spiel irgendwann mal vorbei ist, das ist es aber nicht. Man kann Etappensiege erringen, wie etwa mit dem Takedown von Emotet. Diese Polizeiaktion hat ein paar Jahre in der Vorbereitung gedauert und ist erfolgreich zu einem Abschluss gekommen – der Takedown hat die T\u00e4tergruppe fast einen gesamten Jahresumsatz gekostet. Aber Sie haben Recht: Es ist ein Katz-und-Maus-Spiel. Mal hat einer die Nase vorne, mal hat ein anderer die Nase vorne. Unsere Aufgabe als Sicherheitsindustrie ist es, daf\u00fcr zu sorgen, dass wir so h\u00e4ufig wie m\u00f6glich die Nase vorne haben und dass wir Angriffe so schwierig und so aufw\u00e4ndig und so teuer wie m\u00f6glich machen. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Was sind aus Ihrer Sicht die wichtigsten drei Punkte, die wir aus unserem Gespr\u00e4ch mitnehmen sollten?<\/strong><\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Erstens: Jede:r ist grunds\u00e4tzlich als Ziel interessant. Die Entscheidung dar\u00fcber trifft man nicht selbst. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Zweitens: Jede:r sollte sich im Privaten oder in einem Unternehmensumfeld einmal \u00fcberlegen: Wie reagiere ich, wenn tats\u00e4chlich mal der Tag X kommt und ich eine Ransomware oder einen Erpressungsversuch vor mir habe? Jeden Vorfall zu verhindern, ist einfach nicht m\u00f6glich. Deshalb sollte jede:r f\u00fcr sich entscheiden: So gehe ich vor, wenn tats\u00e4chlich Daten “verloren” gehen oder ich erpresst werde. <\/p>\n<\/div><\/div><\/div>\n\n

\t\n

Drittens: IT-Sicherheit ist ein Katz-und-Maus-Spiel, das nie wirklich vorbei sein wird. Wir haben in der IT-Sicherheit immer versucht, alles zu automatisieren und die Menschen von kritischen Entscheidungen fernzuhalten. Das f\u00e4llt uns im Moment auf die F\u00fc\u00dfe. Wir m\u00fcssen die Nutzerinnen und Nutzer an die Hand nehmen und sie zum Teil eines tragf\u00e4higen Sicherheitskonzeptes machen. In Zukunft sollte es immer hei\u00dfen: Nicht die IT gegen die Nutzer:innen, sondern die IT mit den Nutzer:innen. Da brauchen wir mehr Zusammenarbeit und vor allem auch eine bessere Fehlerkultur.<\/p>\n<\/div><\/div><\/div>

\t\n\n