Wie DDoS-Kriminelle Unternehmen erpressen

Heiko Löhr, Leitender Kriminaldirektor Cybercrime beim BKA, und Marc Wilczek, Geschäftsführer beim IT-Sicherheitsdienstleister Link11, haben in einer digitalen Paneldiskussion die aktuelle Bedrohungslage analysiert und die Herausforderungen im Umgang mit der Extremsituation benannt. Außerdem kam mit Kai Widua, Chief Information Security Officer der Beiersdorf AG, ein Vertreter eines führenden Unternehmens zu Wort, das sich proaktiv mit der Gefahr, die von sogenannten „Distributed Denial of Service“ (kurz: DDoS) -Attacken ausgehenden, auseinandergesetzt hat.

Moderiert wurde die Diskussion von Thomas Kuhn, Tech-Reporter Innovation & Digitales, bei der WirtschaftsWoche. Die Aufzeichnung des Webcasts finden Sie hier oder die wesentlichen Punkte in der folgenden Zusammenfassung.

DDoS-Erpressungen im Aufwind

Fancy Bear, Lazarus Group, Armada Collective – Ransom DDoS-Erpresser schlagen immer häufiger zu. Die Zahl der Unternehmen, die von den erpresserischen Überlastungsangriffen betroffen sind, ist in den vergangenen Monaten stark gestiegen. Die Angriffsform, die es schon seit über 20 Jahren gibt, ist so präsent wie nie. Dafür gibt es mehrere Gründe: Unternehmen spüren sofort die Folgen eines erfolgreichen Angriffs und stehen infolge der IT-Ausfälle schnell unter Handlungsdruck. Außerdem können fast alle Firmen zum Ziel werden, da sie immer mehr digitale Angriffsflächen bieten. Die Chance, dass man von den DDoS-Kriminellen übersehen wird, ist minimal, berichtet Marc Wilczek von Link11 aus der täglichen Schutz-Praxis. Die Aussichten auf schnell verdiente Kryptogelder durch Lösegeldforderungen sind zu verlockend. Erschwerend kommt hinzu, dass Cyberkriminalität zu einer eigenen Industrie geworden ist, die sich immer weiter professionalisiert.

Erpresser-Kampagnen ziehen sich um den Globus

Die Angriffe im Namen bestimmter Täter wie die schon genannten Fancy Bear oder Armada Collective erfolgen vielfach in Wellen und greifen gesellschaftliche, wirtschaftliche und politische Entwicklungen auf, so Heiko Löhr vom BKA. Bestes Beispiel dafür sind die Angriffe auf Institutionen und Unternehmen, die bei der Bewältigung der Corona-Pandemie eine Rolle spielen oder von ihr profitieren: Diese stammten u. a. aus dem Gesundheitswesen, Food, Bildung, Hosting, Logistik. Im konkreten Fall starteten die Erpressungskampagnen in den USA und weiteten sich über Großbritannien und Mittteleuropa aus. Zunächst liefen die Angriffe oftmals noch weit gestreut, ohne die finanziellen Möglichkeiten der attackierten Unternehmen zu prüfen. Im Laufe der Zeit wurden die Attacken ebenso zielgerichteter wie die Lösegeldforderungen.

Triple Extortion und DDoS-Türöffner – immer neue Angriffsszenarien

Ebenso flexibel zeigen sich die Täter beim Einsatz und der Kombination von Angriffstechniken. Ein neues Phänomen, welches das BKA in den vergangenen Monaten verstärkt beobachtet hat, sind sogenannte „Triple Extortions“. Dabei handelt es sich um eine dreifache Erpressung, bei der IT-Systeme lahmgelegt, infiltriert und verschlüsselt (Ransomware) werden. Das Ganze wird von DDoS-Angriffen mit zunächst geringem Volumen eingeleitet, um der Erpressung Nachdruck zu verleihen. Wenn Schadcode eingeschleust wurde, folgt darauf die nächste Erpressung, um die Daten wieder zu entschlüsseln. Zusätzlich wird damit gedroht, die abgegriffenen Daten zu veröffentlichen.

Neben der Erpressung setzen die Angreifer immer häufiger DDoS-Attacken zum Verschleiern von nachgelagerten Angriffen ein, berichtet Wilczek. Die Täter nutzen oft Web-Server, um sich Zugriff auf die Unternehmens-IT zu verschaffen. Dazu platzieren sie Schadcode, der mit dem Booten des Servers, z. B. nach einem DDoS-Angriff, ins Firmennetzwerk gelangt und ausgeführt wird. Die bisher übliche Praxis in der IT-Sicherheit, im Angriffsfall die Systeme erst einmal herunterzufahren und sie nach dem Angriff wieder zu starten, wird von den Angreifern gezielt ausgenutzt.

Prävention statt Reaktion bei Cyber-Attacken

Angesichts so viel cyberkrimineller Energie stehen die IT-Abteilungen in den Unternehmen vor großen Herausforderungen. Davon weiß Kai Widua, CISO der Beiersdorf AG, zu berichten. Auch auf den Konsumgüterkonzern hatten es DDoS-Erpresser abgesehen. Erfolglos! Denn das Unternehmen hat nach früheren Angriffen wie durch NotPetya die IT-Sicherheit neu aufgestellt und arbeitet seitdem nach dem Assume-Breach-Ansatz. Durch die Vorbereitung auf mögliche Cyber-Angriffe macht man sich nicht erpressbar. In der Praxis bedeutet das, Response- und Recovery-Prozesse einzuüben und kurze Entscheidungswege zu ermöglichen. Außerdem werden Hosting-Provider/Carrier und Schutzanbieter wie im Bereich DDoS-Schutz präventiv eingebunden sowie ein enger Kontakt zu den Behörden wie dem LKA in Hamburg gehalten.

Die gute Vernetzung mit den Ermittlungsbehörden wie bei Beiersdorf ist nach den Erfahrungen von Heiko Löhr längst kein Einzelfall mehr. Unternehmen kommen verstärkt auf die Polizei zu, um sie in ihre Prävention und Krisenbewältigung einzubinden. Die eigens dafür eingerichteten Zentralen Ansprechstellen für Cybercrime (ZAC) auf Landesebene und beim BKA sollten am besten proaktiv kontaktiert werden, noch bevor es zu einem Cyber-Angriff kommt.