Auf einmal funktioniert kein System mehr. Nicht einmal mehr die Notfallaufnahme funktionierte in Düsseldorf – eine Patientin starb deshalb.
Notfall. Cyber-Kriminalität kann jeden treffen – heutzutage, wo wirklich fast alles ans Internet angeschlossen ist, kann auch fast jedes System attackiert werden.
Besonders hinterhältig: Ransomware-Angriffe, bei denen alle Computer verschlüsselt werden und Lösegeld erpresst wird – ansonsten läuft nichts mehr und außerdem veröffentlichen die Betrüger Schritt für Schritt die persönlichen Daten im Internet. Wie damit umgehen? „Der Erpressung nicht nachgeben!“, rät Cornelius Granig im INSIDER-Interview. Der Sicherheitsexperte erklärt was hinter den Attacken steckt, die auch das Land Kärnten getroffen haben.
Russische Kriminelle erbeuten Milliarden – Europol jagt sie
Verbrecher. Weltweit zur Fahndung ausgeschrieben ist etwa Igor Turashev. Der Russe steht im Verdacht, bei der Durchführung von mehreren Cyberattacken auf deutsche Unternehmen beteiligt gewesen zu sein. Der am 15. Juni 1981 geborene Mann wird der Gruppierung „Doppel Spider“ zugeordnet.
Igor Turashev: Beim Uniklinik-Hack dabei
Igor Garshin: 600 Opfer weltweit, erpresste zig Millionen Euro
In Nordrhein-Westfalen wurden 2020 unter anderem die Universitätsklinik Düsseldorf, die FunkeMedien Gruppe und Matratzen Concord Opfer dieser Erpressungen.
Patientin stirbt. Im Fall der Universitätsklinik Düsseldorf kam durch die Verschlüsselung erforderlichen Abmeldung der Notfallaufnahme eine Frau zu Tode. „Mindestens 601 Unternehmen oder Institutionen weltweit, unter anderem Pharma- und Rüstungskonzerne, sind auf diese Weise geschädigt worden“, schreibt die deutsche Polizei auf dem Fahndungsplakat.
Wiener Spitäler. Im Wiener Gesundheitsverbund soll bei einem Ausfall der Computernetzwerke trotzdem die Notfallaufnahme möglich sein, sagt Sprecher Markus Pederiva dem INSIDER: „Notfalls erfolgt die Aufnahme mittels Papierdokument.“ Außerdem: „Im Wiener Gesundheitsverbund ist durch Vorsorgemaßnahmen sichergestellt, das auch im Falle von Cyberangriffen die medizinische Notfallversorgung aufrechterhalten werden kann. Natürlich wollen wir im Detail diese Vorsorgemaßnahmen nicht öffentlich kommunizieren.“ Die beruhigende Botschaft: Bei einem Angriff gibt es in Wien Backup-Systeme.
Seit dem vergangenen Jahr sind Daten, die russische Kriminelle erbeutet haben, im Darknet verfügbar. Unter einer xxx.onion-Adresse im TOR-Browser.
Hacker-Gruppen
Russische Cyber-Kriminelle gehören zu den gefährlichsten Hackern:
| Leaders |
| Lockbit 3.0 |
| BLACKCAT/ALPHV |
| BLACK BASTA |
| Challengers |
| REVil/Sodinokibi |
| Conti/wizard |
| Hive |
| Visionaries |
| Vice Society |
| Royal |
| Medusa |
| Play |
| Niche Players |
| Clop |
| Doppelpaymer/Grief |
| Pysa |
| Egregor |
| Karakurt |
| Lapsus$ |
Granig: »Die Russen führen einen Cyberkrieg gegen den Westen«
Dr. Cornelius Granig hat die bedrohte Kärntner Landesregierung und andere Organisationen bei Cyber-Notfällen beraten.
Insider: Warum ist Cyber-Crime ein Problem für Österreich?
Cornelius Granig: Digitale Angriffe auf Privatpersonen, Firmen und Organisationen haben in den letzten zehn Jahren stark zugenommen, so dass inzwischen fast jeder von uns davon betroffen ist. Das hängt einerseits mit der fortschreitenden Digitalisierung zusammen. Anderseits haben die Angreifer sich zu größeren Gruppen zusammengetan, die wie kriminelle Großfirmen arbeiten. Hier kann man von organisierter digitaler Kriminalität sprechen, die seit dem Beginn des Kriegs Russlands gegen die Ukraine noch mehr an Fahrt aufgenommen hat. Die Russen führen einen regelrechten „Cyberkrieg“ gegen den Westen.
Cornelius Granig: Sicherheits-Experte
Insider: Wie funktioniert eine Ramsonware-Attacke?
Granig: Bei einer Ransomware-Attacke wird eine Schadsoftware auf einen Computer aufgespielt, die diesen unter ihre Kontrolle bringt und sich in dem von diesem Rechner aus erreichbaren Netzwerk ausbreitet. Danach werden Daten kopiert und meist auch Systeme verschlüsselt. Diese Art von Schadsoftware heißt „Ransomware“, weil von den Angreifern eine Lösegeldforderung (English: „Ransom“) gestellt wird.
Insider: Sie haben die Kärntner Landesregierung im Cyber-Notfall beraten. Wie war das?
Granig: Die Kärntner Landesregierung war das Ziel eines Angriffs einer russischsprachigen Gruppe, die „Blackcat“ oder „ALPHV“ genannt wird. Diese Kriminellen forderten die Zahlung mehrerer Millionen Euro von der Kärntner Landesregierung. Für den Herrn Landeshauptmann und seine Regierungskollegen war das Eingehen auf eine derartige Erpressung nie eine Option, da damit der organisierten Cyber-Kriminalität von einer öffentlichen Stelle Vorschub geleistet werden würde. In mühevoller und detaillierter Arbeit schaffte es die IT-Abteilung des Landes mit Hilfe professioneller Unterstützung externer Dienstleister, alle Systeme wiederherzustellen. Gestohlene Daten wurden von den Hackern veröffentlicht und auch von Beitragstätern analysiert. Alle damit zusammenhängenden Erpressungsversuche, auch mit Überlastungsattacken, sind aber letztlich ins Leere gelaufen.
Insider: Geben Sie als Rat „nur im äußersten Notfall zahlen“? Welchen Rat geben Sie noch?
Granig: Wichtig ist, dass bei uns ein generelles Umdenken erfolgt. Jeder kann ein Opfer von Computerkriminalität werden und sollte sich daher möglichst gut dagegen wappnen. Das öffentliche Bekanntgeben einer Cyberattacke sollte nicht stigmatisierende Folgen für die betroffenen Organisation haben, wenn diese professionell aufgearbeitet wird. Kommunizieren sollte man mit Hackern vor allem zu dem Zweck, um herauszufinden, ob und welche Daten kopiert wurden. Eine Zahlung sollte nur die allerletzte Option sein, beispielsweise wenn Menschenleben in Gefahr sind.
Insider: Was sind die fünf Schritte, mit denen die Erpresser drohen?
Granig: So läuft eine Cyber-Attacke oft ab:
- Im ersten Schritt werden Daten gestohlen. Das passiert oft Wochen und Monate, bevor der Angriff entdeckt wird.
- Im zweiten Schritt werden die im Netzwerk erreichbaren Geräte verschlüsselt. Die angegriffene Organisation erhält eine Nachricht von den Verbrechern mit einer Lösegeldforderung in einer Kryptowährung (zumeist Bitcoin oder Monero). Wenn die Opfer trotz der Erpressung in den ersten beiden Phasen nicht zahlen, folgen häufig weitere Schritte.
- Im dritten Schritt werden die vom Internet aus erreichbaren Webseiten mit Überlastungsattacken angegriffen.
- Im vierten Schritt veröffentlichen die Verbrecher die Kommunikation mit den Opfern über die Lösegeldzahlung (dabei werden manchmal geheime interne Abläufe oder die finanzielle Situation der Opfer offengelegt).
- Im letzten Schritt wenden sich die Angreifer an Menschen oder Organisationen, die sie in den Daten der angegriffenen Einrichtung finden, und fordern diese auf, Zahlungen zu leisten, damit ihre personenbezogenen Daten (z. B. Fotos von Operationen, Gehaltsdaten, Vorstrafen) nicht veröffentlicht werden.
