Ransomware-Attacke: wenn Hacker Lösegeld für Daten fordern

Der jüngste Hacker-Angriff gegen den GPS-Spezialisten Garmin zeigt erneut, wie schnell ein Unternehmen Opfer von Cyber-Erpressern werden kann. Security-Spezialist Josef Pichlmayr erklärt, wie sich Unternehmen gegen solche Attacken vorbeugend schützen können.

Herzfrequenzmessung, Strecken-Aufzeichnung via GPS, Kilometer- und Höhenmeter-Zähler, Navigation auf der Straße und abseits davon, Trittfrequenzsensor, Drehzahl- und Wattmesser, Sturzsensor und Unfallalarm, Radar- und Abstandswarnung, Wettkämpfe gegen virtuelle Partner oder auch nur die Jagd nach einem neuen persönlichen Rekord – die Digitalisierung hat den Sport voll erfasst und ist von den Profis ausgehend über die ambitionierten Amateursportler auch im Breitensport angekommen.

Eines der Unternehmen, das die moderne Vermessung des Sports in den vergangenen Jahrzehnten maßgeblich vorangetrieben hat und mit seiner breiten Produktpalette Profis aus dem Spitzensport ebenso bedient wie blutige Amateure ist Garmin. Das 1989 gegründete, schweizerisch-amerikanische Unternehmen mit Sitz in Schaffhausen war eines der ersten, das die Miniaturisierung der GPS-Empfänger nutzte und damit das Tracking und die Navigation in für Sportler bald unverzichtbare Geräte integrierte.

Mit Zuverlässigkeit, einfacher Nutzbarkeit und professioneller Aufzeichnung und Auswertung der Daten hat das börsenotierte Unternehmen – die Aktien notieren unter der ISIN CH0114405324 an der Technologiebörse NASDAQ und sind im Aktienindex S&P 500 enthalten – eine treue und stetig wachsende Community aufgebaut und sich auch für Investoren als attraktives Unternehmen positioniert. 2019 erwirtschaftete das neben dem Fitness- und Sportbereich auch in der Flug- und Marinenavigation, in der Outdoor- und der Fahrzeug-Navigation aktive Unternehmen einen Umsatz von 3,76 Milliarden Dollar und verzeichnete damit ein Plus von 12 % gegenüber dem Jahr 2018. Der Gewinn der unternehmerischen Tätigkeit lag bei 946 Millionen Dollar.

Die böse Überraschung

Am Morgen des 23. Juli 2020 war mit der Zuverlässigkeit und der einfachen Nutzbarkeit aber plötzlich Schluss. Die Geräte selbst – Pulsuhren, Fahrrad- und Kfz-Navis, Marine- und Avionikprodukte – funktionierten zwar weiterhin einwandfrei. Sie brachten ihre Benutzer ans Ziel und zeichneten Aktivitäten auf. Die Online-Datenübertragung zur weiteren Auswertung war jedoch nicht mehr möglich. Gleichzeitig ging die Smartphone-App des Unternehmens offline – es erschien eine Meldung, dass Wartungsarbeiten durchgeführt würden.

Dann ging es Schlag auf Schlag weiter. Weltweit waren die Website des Unternehmens und der Online-Shop offline und auch der Kundendienst Unternehmens nicht erreichbar. Das Unternehmen konnte keine Mails mehr empfangen, sämtliche Online-Kommunikationskanäle waren blockiert. Erst Stunden später gab es auf der Homepage des Unternehmens eine knappe „We’re sorry“ Erklärung.

Als das Problem einen halben Tag später immer noch andauerte wurde klar, dass der Grund dafür keine missglückte Serverwartung sein konnte und bald darauf machte die Nachricht die Runde, dass Garmin das Opfer einer Ransomware-Attacke geworden war. Einer erpresserischen Attacke, hinter der vermutlich die russischen Hacker der Cybercrime-Gang „Evil Corp.“ und ihr Kopf Maksim Yakubets standen. Jener Yakubets, auf den das FBI eine Ergreiferprämie von fünf Millionen Dollar ausgesetzt hat. Ihr Ziel: ein Lösegeld in Millionen-Dollar-Höhe erpressen.

„Bei einer Ransomware-Attacke wird ein Trojaner in das System eingeschleust, der das Netz auskundschaftet, Schwachstellen nutzt und sich auf kritische Anwendungen setzt und daraufhin das Netzwerk verschlüsselt. Das ist ein sehr komplexer Prozess und technisch gesehen hat man keine Chance, einen Schlüssel selbst wieder zu reversen“, erklärt Josef Pichlmayr, CEO der Wiener Ikarus Software GmbH. „Die Angreifer sind in der Lage, alle Daten zu verschlüsseln und wegzusperren.“ Garmin habe daher keine andere Wahl gehabt, als entweder das geforderte Lösegeld zu zahlen – kolportiert werden zehn Millionen US-Dollar – oder einen längerfristigen Ausfall der Online-Services in Kauf zu nehmen.

Nach Vier Tagen Stillstand, in denen alle Alternativen ausgelotet wurden, hatte Garmin offenbar klein beigegeben, das geforderte Lösegeld gezahlt und am Morgen des 27. Juli nach und nach wieder die Kontrolle über das eigene Netzwerk, die zentralen Server, Kunden- und Nutzerdatenbanken zurückbekommen.

Kidnapping und Lösegeld für Daten

Der Angriff auf Garmin ist kein Einzelfall, aber einer, der aufgrund des weltweiten Stillstands international Aufsehen erregt hat. Ein südkoreanischer Telekom–Anbieter, der ebenfalls Opfer einer Ransomware-Attacke geworden war, hat kolportierte 27 Millionen Dollar gezahlt, um sein Netz wieder in Betrieb nehmen zu können. Doch nicht nur Unternehmen, auch Städte, Gemeinden und öffentliche Einrichtungen werden von den Cyber-Angreifern zunehmend attackiert. Manche, wie die US-Städte Atlanta, Lake City und Riviera haben Lösegeld gezahlt, um wieder an ihre Daten zu kommen. Andere wiederum haben das nicht getan, stattdessen einen längeren Ausfall ihrer Online-Services hingenommen und die Systeme neu aufgebaut.

„Eine solche Situation ist der Supergau. Jeder hat Angst davor“, sagt Security-Experte Pichlmayr. Besonders kritisch wird es, wenn eine solche Attacke einen Energieversorger, eine Bank oder einen Mobilfunkanbieter trifft. „In Österreich würde ein Angriff auf einen Mobilfunkanbieter bedeuten, dass rund ein Drittel der Bevölkerung betroffen ist“, gibt er zu bedenken.

Zumindest gibt es auch in Hacker-Kreisen offenbar ein gewisses Grund-Ethos: Als die Corona-Krise im Frühjahr in Europa auf ihren Höhepunkt zusteuerte erklärten Gruppen, dass sie keine Attacken auf Krankenhäuser oder andere kritischen Infrastrukturen starten würden.

Strategien gegen Angreifer

Was können aber Unternehmen, Kommunen und öffentliche Stellen nun vom Angriff auf Garmin lernen? Wie können sie verhindern, selbst ein Erpressungsopfer zu werden?

Joe Pichlmayr, CEO Ikarus Software GmbH
Josef Pichlmayr, CEO Ikarus Software GmbH: „Es ist die Frage, welches Risiko man akzeptiert.“© beigestellt

Wichtig zu verstehen ist, dass man einen Angriff praktisch nicht verhindern, sondern nur dessen Folgen abmildern kann. „Es hilft keine Firewall, nichts. Bei aller Prävention muss man überlegen, was im Fall der Fälle passiert. Was es kostet, und was nötig ist – wie viel Zeit und Geld – um die Systeme wieder ins Laufen zu bringen und die Daten zu recovern“, sagt Pichlmayr.

Essenziell seien dabei die Anforderungen an die Backups und redundanten Systeme genau zu bestimmen. Man muss in der Lage sein, alle Daten wiederherzustellen. Ist ein Backup-System mit dem eigentlichen System verbunden, dann ist es im Falle eines derartigen Angriffs wertlos, weil es gleich mit verschlüsselt wird. Das ist auch der Fall, wenn ein Backup-System mit dem Netz verbunden ist. Pichlmayr: „Auch Lösungen mit virtuellen Servern sind gefährdet. Einem Trojaner ist es komplett egal, ob ein Datensatz auf einer anderen Partition liegt. Virtuelle Lösungen sind nur vermeintlich sichere Lösungen“ Und er gibt zu bedenken: „Wenn ein Server über ein VPN-Netzwerk erreichbar ist, dann ist er auch für Hacker erreichbar.“

Wer denkt, selbst vor Angriffen gefeit zu sein, der lebt besonders gefährlich. Jedes Unternehmen, jeder verantwortliche Manager sollte sich daher die Frage stellen, welche Auswirkungen eine solche Attacke auf das eigene Business-Modell hat. Wie lange man überleben kann, wenn plötzlich nichts mehr geht? Was kostet es, wenn man überhaupt keinen Dienst mehr anbieten kann? Gibt es Backups, mit denen auf neuen, garantiert nicht infizierten Geräten die Systeme neu aufgesetzt und die Daten wieder eingespielt werden können? „Es ist die Frage, welches Risiko man akzeptiert“, sagt Pichlmayr.

Vorbeugend müsse man die gesamte Netzwerk-Architektur überdenken und entsprechend ausstatten. Sogenannte Brandabschnitte errichten, über die sich ein Trojaner im Fall einer Attacke nicht weiter ausbreiten kann. Und wenn man doch Opfer einer Ransomware-Attacke wird, dann müsse man sich als Unternehmen schlicht abwägen, ob man es wirtschaftlich verkraften kann, nicht zu zahlen. Pichlmayr: „Die Flucht nach vorne antreten. Die Kunden informieren, soweit das möglich ist und um Geduld bitten. Denn es kann dauern, bis die Systeme wieder laufen.“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.