Stillstand wird zur Waffe
Ein Klick, ein falsches Passwort oder eine offene Sicherheitslücke kann genügen – und ein Betrieb steht still. Ransomware-Angriffe zählen heute zu den grössten Bedrohungen für Unternehmen. Als mehrere Kantone und Dutzende Schweizer Firmen davon betroffen sind, übernimmt die Bundesanwaltschaft die Verfahren. fedpol ermittelt.
Ein Mitarbeiter eines Buchhaltungsdienstleisters im Mittelland kommt morgens als Erster ins Büro und startet seinen Computer. Als er eine Datei öffnen will, erscheint anstelle der Erfolgsrechnung seines Kunden eine Meldung auf seinem Bildschirm. Inhalt der Mitteilung: Sämtliche Dateien des Unternehmens und seiner Kundinnen und Kunden wurden verschlüsselt. Sie werden veröffentlicht, wenn nicht innert 24 Stunden das geforderte Lösegeld bezahlt wird. So oder ähnlich ergeht es zahlreichen Unternehmen. Absender der Lösegeldforderung: Die Ransomware-Gruppierung 8Base, eine der grössten kriminellen Gruppierungen, die sich mit solchen Erpressungen jedes Jahr um Millionen von Franken bereichern. Sie verschlüsseln Daten, legen IT-Systeme lahm und verursachen hohe wirtschaftliche Schäden.
Für viele Betroffene sind die Lösegelder weniger problematisch als die Kosten, die durch den Ausfall ihrer Dienstleistungen entstehen. Produktionsprozesse kommen zum Stillstand, Rechnungen bleiben liegen, Termine müssen verschoben werden. Ins Visier der kriminellen Gruppierungen geraten längst nicht mehr nur Grossunternehmen, sondern auch kleine und mittlere Betriebe.
Einen Beitrag zur Eindämmung dieser Bedrohung leisten fedpol und die Bundesanwaltschaft gemeinsam mit internationalen Partnern. Ziel ist die Identifikation der Ransomware-Gruppierung 8Base, die weltweit Hunderten von Unternehmen und Organisationen Schaden zufügt, davon mehrere Dutzend in der Schweiz.
Agile Zusammenarbeit
Eine zentrale Rolle spielt die enge und flexible Zusammenarbeit der beteiligten Behörden. Statt einer linearen Grossermittlung setzen die Partnerländer auf kurze, aufeinander abgestimmte Ermittlungsphasen. In diesen Sprints werden Erkenntnisse gebündelt, Spuren zusammengeführt und die Täterschaft schrittweise identifiziert.
Die Ermittlungsteams erkennen frühzeitig Hinweise auf geplante Angriffe. Diese Informationen ermöglichen es den betroffenen Ländern, präventive Massnahmen zu ergreifen: Unternehmen werden gewarnt, Systeme überprüft und Zugänge gesichert. Die Cyberermittlerinnen und Cyberermittler von fedpol können über die beteiligten internationalen Partner weltweit mehr als 300 potenzielle Firmenopfer frühzeitig warnen. So wird die Erpressung in mehreren Fällen bereits im Ansatz verhindert. Auch in der Schweiz. Mehrere mutmassliche Mitglieder werden identifiziert, lokalisiert und festgenommen.
Koordiniertes Vorgehen
Ein sichtbares Ergebnis der internationalen Zusammenarbeit ist der sogenannte Take-down. Dabei wird die technische Infrastruktur der Cyberkriminellen vom Netz genommen, unter anderem die Plattformen, auf denen sie die gestohlenen Daten veröffentlichen. Anstelle der bisherigen Inhalte erscheint eine Hinweisseite der Strafverfolgungsbehörden. Sie macht deutlich, dass die Behörden die Kontrolle über die Infrastruktur übernommen haben – und dass kriminelle Aktivitäten nicht unbeobachtet bleiben (mehr dazu in der Mitteilung von Europol).
Verschlüsselte Daten werden wieder lesbar
Ein weiteres sichtbares Ergebnis der Operation ist die Hilfe für die bereits geschädigten Unternehmen. Japanischen Ermittlerinnen und Ermittlern gelingt die Entwicklung eines Entschlüsselungstools für verschlüsselte Dateien. Dieses Tool wird auf der von Europol und der niederländischen Polizei zur Verfügung gestellten Plattform No More Ransom publiziert. Für Opfer, die kein Lösegeld bezahlt haben, ist das ein Befreiungsschlag: Ihre Daten werden wieder zugänglich.
Am Ende zeigt der Fall 8Base vor allem eines: Cyberkriminelle arbeiten global – und so funktioniert auch erfolgreiche Strafverfolgung.
«Cyberkriminalität ist ein Bereich, der sich besonders schnell verändert. Ein Ermittlungserfolg in dieser Grössenordnung lässt sich nur dank der gut funktionierenden nationalen und internationalen Zusammenarbeit erzielen.»
Lukas, Bundesermittler Cyberkriminalität