Ransomware (Kunstwort aus engl. Ransom + Software) bezeichnet eine Art Schadsoftware, die unbefugt Daten auf einem Zielsystem verschlüsselt und die Verfügbarkeit von Daten oder ganzen Systemen für die User negativ beeinträchtigt. Ihre Funktion ist Erpressung. Gegen Zahlung einer Lösegeldsumme (engl. Ransom) an Cyberkriminelle können Nutzende unter Umständen ihre Daten freikaufen, entschlüsseln und wieder nutzbar machen. Ransomware gelangt in der Regel durch manipulierte E-Mail-Anhänge oder Links in Phishing-E-Mails auf ein System und verschlüsselt dann, oft zunächst unbemerkt, Daten auf einem System. Am Ende des Vorgangs erhält das Opfer eine Benachrichtigung des Erpressers mit der Aufforderung, ein Lösegeld in gängigen Kryptowährungen an eine bestimmte Adresse zu überweisen, damit die Daten wieder entschlüsselt werden können. Kommt die Transaktion zustande, erhält das Opfer einen Schlüssel zur Entschlüsselung der Daten (soweit das Versprechen der Erpresser; der Erhalt eines Schlüssels ist nicht immer der Fall).
Die Ursprünge von Ransomware liegen bereits in den späten 1980er-Jahren. Während der 1990er-Jahre war Ransomware eher ein Nischengeschäft der Cyberkriminalität: Kriminelle verdienten eher Geld mit Spam, E-Mail-Betrugsmaschen sowie mit dem Verkauf von Kreditkarten- und Onlinebankingdaten. Seit 2011 ist ein sprunghafter Anstieg von Ransomware-Angriffen zu verzeichnen. Ein Grund dafür ist die eingetretene gesellschaftliche Verbreitung digitaler Zahlungsmethoden (wie Western Union, PayPal etc.), aber auch früherer Kryptowährungen wie Bitcoin ab 2008, zur Abwicklung der Lösegeldzahlungen. Ein weiterer Grund sind verbesserte Verschlüsselungsalgorithmen sowie die weitreichende Verfügbarkeit von Angriffsinfrastrukturen wie Botnetzen (z. B. Cryptolocker und Zeus), die die Auslieferung von Ransomware erleichtern.
Ransomware hat in den letzten Jahren eine erstaunliche Evolution erfahren: Sie ist professioneller, systematischer und schlagkräftiger geworden. Heute ist Ransomware eines der lukrativsten Geschäftsmodelle für Cyberkriminelle. Im sogenannten Ransomware-as-a-Service(RAAS)-Geschäftsmodell bieten Angreifergruppen ihre Schadsoftware-Suiten zur Miete an Subunternehmer an, die dann in deren Auftrag Ziele hacken und dann einen Teil der Lösegeldsumme behalten dürfen. Diese Servicemodelle erlauben auch kleineren, weniger fähigen Hackergruppen, schnell Geld zu verdienen und tragen somit zur Proliferation des Problems bei. Cyberkriminelle sind heute arbeitsteilig organisiert und hochgradig effizient. Sogenannte Access-Broker verkaufen “Hintertürzugänge” zu Systemen von im Vorfeld ausgekundschafteten Unternehmen mit hoher Zahlungsbereitschaft. Spezialisierte Entwickler entwerfen immer neue, schlagkräftigere Varianten von Ransomware-Schadsoftware mit zusätzlichen Funktionen, wie z. B. dem Scannen von Firmennetzwerken, der automatischen Infizierung von weiteren Geräten im gleichen Netzwerk (Wurmkomponente) sowie Mechanismen zum Umgang mit immer neuen Detektionsmechanismen der Antischadsoftware-Industrie. Die Verteilung von Ransomware geschieht mittlerweile über Phishing-Kits mit grafischen Nutzeroberflächen, die über einen hohen Automatisierungsgrad verfügen. Auch die Kommunikation mit den Opfern und die Abwicklung der Zahlungen in Bitcoin inklusive der Geldwäsche über Bitcoin Mixer, Money Mules und andere Dienstleister funktioniert heute weitgehend automatisch. Die individuellen Komponenten sind dabei abgeschirmt, um eine Strafverfolgung zu erschweren. Kommunikation findet in der Regel über verschlüsselte Messenger und Websites und Foren im Darknet statt. Es gibt zahlreiche Ransomware-Gruppen, die für eine Vielzahl von Angriffen verantwortlich sind, und unter ihnen scheint es eine Art Wettbewerb um Ruhm und Geld zu geben.
Die Angreifer haben sich inzwischen auch an gängige Präventionsmechanismen zur Vereitelung von Ransomware-Angriffen angepasst. Gibt es in den Unternehmen oder Organisationen Kopien der verschlüsselten Daten, ist der Anreiz, ein Lösegeld zu zahlen, gering. Deshalb haben Angreifer damit begonnen, nach Back-up-Systemen im Netzwerk zu suchen und diese Back-ups ebenfalls zu verschlüsseln. Dabei hat sich das Schema der Triple Extortion durchgesetzt: Im ersten Schritt werden Unternehmensdaten gestohlen, im zweiten Schritt wird das Zielsystem verschlüsselt. Im dritten Schritt drohen die Angreifer dann mit der Veröffentlichung sensibler Daten, falls keine Lösegeldzahlung erfolgen sollte. Da bei datenschutzrelevanten Nutzerdaten Unternehmen auch regulatorische Konsequenzen drohen könnten, erhöht dies den Zahlungsdruck. Auch andere Cyberangriffe, wie Distributed Denial of Service, also Angriffe auf dasselbe Unternehmen, erzeugen den Zahlungsdruck zusätzlich. Es kommt auch vor, dass dasselbe Unternehmen mehrfach hintereinander von derselben Ransomware-Gruppe angegriffen wird. Seit einigen Jahren hat sich zudem das Big Game Hunting durchgesetzt: Die Angreifer führen Finanzanalysen ihrer Opfer durch, indem sie beispielsweise Quartalsberichte auswerten, um die Zahlungsfähigkeit zu überprüfen. Es werden insbesondere größere Unternehmen angegriffen, denen eine hohe Zahlungsmotivation nachgesagt wird, weil sie es sich nicht leisten können, ihren Geschäftsbetrieb über einen längeren Zeitraum ruhen lassen zu müssen.
Vergleichbarkeit mit analogen Phänomenen
Erpressungssoftware orientiert sich an bekannten Erpressungsmethoden der traditionellen organisierten Kriminalität, wie beispielsweise der Geiselnahme. Ein für das Unternehmen wichtiges Asset wird entführt, ist damit nicht mehr verfügbar und im Austausch für die Unversehrtheit der Geisel wird eine Geldsumme gefordert. Die Zahlung erfolgt an einem Ort, der eine direkte Observation und Strafverfolgung erschwert (z. B. tote Briefkästen). Die Eigenschaften des digitalen Raums machen Ransomware aber effizienter: Durch das Internet können Angreifer global agieren und Organisationen in anderen Ländern aus der Ferne bedrohen. Durch die Automatisierung können Hunderte Ziele gleichzeitig angegriffen und erpresst werden. Dadurch können enorme Geldsummen erbeutet werden. Einigen Schätzungen zufolge ist das Finanzvolumen der Ransomware-Kriminalität heute größer als das des gesamten internationalen Drogenhandels. Dabei ist das Strafverfolgungsrisiko für die Angreifer eher gering, insbesondere wenn diese aus Staaten mit schwacher Staatlichkeit oder mit schlecht ausgestatteten Strafverfolgungsbehörden operieren. Zudem können Angreifer ihre Aktivitäten durch diverse Anonymsierungstools verschleiern. Durch spezielle Kryptowährungen wie Monero und Geldwäschetools ist zudem die Nachverfolgung von Finanzströmen sehr schwierig bis unmöglich. Eine wichtige Ursache ist die Verfügbarkeit von frei verfügbaren Angriffsinfrastrukturen in Form von As-a-Service-Diensten des cyberkriminellen Untergrunds. Dazu gehören die Vermietung von Botnetzen, Angriffssuiten und Bullet-Proof Hosting (also Server, die darauf optimiert sind, eine Strafverfolgung zu erschweren). Das große Volumen der Ransomware ermöglicht zudem eine ausreichende Angriffsfläche: Es existieren genügend verwundbare Systeme im Internet, die als Brückenkopf in Unternehmen und Regierungen genutzt werden können. Dazu trägt auch das häufig mangelnde IT-Sicherheitsbewusstsein weiter Teile der Gesellschaft bei. Zudem sind digitale Zahlungsmöglichkeiten durch die zunehmende Digitalisierung inzwischen weitgehend etabliert; ohne Kryptowährungen würde das Geschäftsmodell in diesem Ausmaß nicht funktionieren.
Gesellschaftliche Relevanz
Die gesellschaftliche Relevanz ist in den letzten Jahren sowohl quantitativ als auch in der Qualität der Angriffe gestiegen. Heute ist es weniger die Frage, ob ein Unternehmen einmal von Ransomware betroffen sein wird, sondern eher wann. 66 Prozent der Unternehmen geben an, schon einmal von Ransomware betroffen gewesen zu sein. Kleine und mittelständische Unternehmen, kommunale Verwaltungen und öffentliche Einrichtungen sind genauso im Visier wie große Unternehmen. Neben dem sehr hohen finanziellen Schaden werden auch zunehmend Organisationen angegriffen, die kritische Dienste für digitale Gesellschaften erbringen, wie etwa Betreiber von Kreditkartenterminals, Supermarktketten, Strom- oder Wasserversorger oder sogar Krankenhäuser. Ein Ausfall dieser Systeme kann bisweilen sogar tödliche Konsequenzen haben, wenn beispielsweise lebenswichtige Operationen in Krankenhäusern nicht mehr durchgeführt werden können, weil Systeme nicht verfügbar sind. Schlagzeilen machte 2021 der Angriff auf den Betreiber der Colonial Pipeline in den USA, der dazu führte,dass kurzfristig die Öl- und Benzinversorgung in den USA beeinträchtigt war.
Ransomware spielt zudem in zwischenstaatlichen Auseinandersetzungen eine immer größere Rolle. Staatliche Cyberangreifer wie Nachrichtendienste nutzen Ransomware-Angriffe, um ihre Gegner lahmzulegen, wie unter anderem im Krieg Russlands gegen die Ukraine zu beobachten. Zudem nutzen manche Staaten Cyber-Kriminelle als Proxy-Akteure, die entweder im staatlichen Auftrag Ziele hacken oder sogar als Tarngruppierungen von Nachrichtendiensten agieren und dadurch Cyberangriffe auf Konkurrenten durchführen. Nordkorea verwendet Ransomware beispielsweise zur Aufbesserung des Staatshaushalts und zur Finanzierung ihres Atomprogramms.
Quellen
- Hansel, M./Silomon, J. (2023). The Peace and Security Implications of Cybercrime. In: IFSH Research Report #012, https://ifsh.de/en/publications/research-report-012 [29.04.2024].
- Schulze, M. (2021). Ransomware. Technische, nationale und multilaterale Gegenmaßnahmen. In: SWP-Aktuell 2021/A 56, 31.08.2021, DOI:10.18449/2021A56. https://www.swp-berlin.org/10.18449/2021A56/ [29.04.2024]
- Sophos (Hrsg.) (2023). State of Ransomware 2023. https://www.sophos.com/en-us/content/state-of-ransomware [29.04.2024].
