Wie Cyberkriminelle aufrüsten

Cyberkriminalität ist ein lukratives Geschäft. In den vergangenen Jahren haben sich die Gangs spezialisiert: Die Entwicklung der Schadsoftware, das Ausspähen von Zielen, die Verteilung der Ransomware und das Verhandeln mit den Opfern werden streng arbeitsteilig durchgeführt. „Die Gruppen werden wie Unternehmen geführt und sind hoch effektiv“, sagt Mikko Hyppönen, Forschungschef beim finnischen Sicherheitsunternehmen WithSecure.

Die Gangs seien größer und wohlhabender geworden. Dazu habe, neben der straff organisierten Arbeitsweise, auch der Wertzuwachs bei Kryptowährungen beigetragen. Damit werden üblicherweise Lösegeldforderungen für das Freigeben von Daten beglichen: „Wer vor zehn Jahren zehn Millionen Dollar in Bitcoin hatte, hat heute eine Milliarde.“ Der Sicherheitsexperte spricht in Anlehnung an Start-ups, die mit mehr als einer Milliarde Dollar bewertet werden, von „Cybercrime Unicorns“.

Künstliche Intelligenz

Das angehäufte Vermögen ermögliche den Banden zu investieren und Zugriff auf Technologien zu bekommen, die früher außerhalb ihrer Reichweite lagen, wie etwa künstliche Intelligenz, sagt Hyppönen: „Cyberkriminelle können jetzt mit Technologieunternehmen um Experten am Arbeitsmarkt konkurrieren.“ Bis die ersten Angriffe mit künstlicher Intelligenz durchgeführt würden, sei es nur eine Frage der Zeit.

Attacken würden künftig von Maschinen durchgeführt. eMails, die blockiert werden, werden maschinell umformuliert. Viren, die unschädlich gemacht wurden, setzen sich neu zusammen. Auch abseits neuer Technologien gehen die Gangs innovative Wege. Bei WithSecure hat man beobachtet, wie kriminelle Gruppen über von ihnen gegründete Schein-Sicherheitsunternehmen IT-Experten anheuerten. Die schleusten dann im Glauben, einen legalen Sicherheitstest durchzuführen, erpresserische Software in Firmennetzwerke.

Darauf, dass Unternehmen versuchen, sich mit Sicherheitskopien (Backups) vor der Verschlüsselung ihrer Systeme zu wappnen, haben die Angreifer längst reagiert. Sie saugen Daten vorher ab und drohen – wie auch im Fall Kärnten – mit der Veröffentlichung. Es werde auch versucht, auf die Backups zuzugreifen und sie zu löschen, sagt Hyppönen. Vorstellbar sei auch, dass Angreifer in Sicherungskopien Daten manipulieren, etwa Zahlen austauschen, um für die Wiederherstellung erneut Geld zu verlangen.