Die Erpressung landet im Spam-Ordner, Tausende von Kundenadressen im Darknet: Ein Kleinunternehmen gibt einen seltenen Einblick in einen Hack Cyberattacken verbreiten sich so schnell wie kaum eine andere Straftat. Einblick in eine Attacke, wie sie täglich irgendwo vorkommt, aber normalerweise totgeschwiegen wird.
Cyberattacken verbreiten sich so schnell wie kaum eine andere Straftat. Einblick in eine Attacke, wie sie täglich irgendwo vorkommt, aber normalerweise totgeschwiegen wird.
Was der Fischer GmbH in einer Sommernacht passiert, gehört mit zum Schlimmsten, was einem Kleinunternehmen passieren kann: Innerhalb von Sekunden verliert es einen Teil seiner wertvollsten Güter – Kundenadressen, Kontrolle über seine Reputation.
Seine Geschichte beginnt an einem Donnerstagmorgen mit einer E-Mail. Beim Leeren seines Posteingangs stösst er auf eine Serverwarnung. Jemand – oder etwas? – versuchte in besagter Sommernacht um 1 Uhr in der Früh, eine Datei auf dem Rechner der Fischer GmbH abzuspeichern, «delete.me» heisst das File, darin steckt ein fieser Wurm, eine sogenannte Ransomware. Hätte sie sich wie geplant ausbreiten können, hätte sie sich wohl durch die gesamte IT des KMU gefressen, alles verschlüsselt, was sie hätte erreichen können, und dabei einen unschätzbaren Schaden hinterlassen.
Doch der Server der Fischer GmbH schlug Alarm. Die Datei des Typs «.me» nahm er dank einer Sicherheitseinstellung nicht an. Stattdessen schickte er automatisiert eine E-Mail unter anderem an Hubers Postfach: Achtung, da passiert gerade etwas, das vielleicht nicht passieren sollte. Als Huber die Fehlermeldung sieht, schiesst sein Puls ein erstes Mal in die Höhe.
David Huber heisst in Wirklichkeit anders. Auch der Name der Fischer GmbH ist erfunden. Aber Huber will nur anonym Auskunft geben, er will seine Firma nicht unnötig exponieren, weder gegenüber der Hackerbande noch gegenüber der Öffentlichkeit. Doch er will einen Beitrag dazu leisten, andere kleine und mittelgrosse Unternehmen (KMU) für die Problematik von Cyberattacken zu sensibilisieren. Deshalb rekonstruiert er rund zwei Monate nach dem Hack für die NZZ die Abläufe.
Das Erpresserschreiben ging erst einmal unter
Am Morgen des Hacks sitzt Huber also vor seinem PC – und staunt. Denn abgesehen von der Servermeldung scheint bei der Fischer GmbH trotz dem Angriff alles in bester Ordnung zu sein. Das ergibt die erste Lageanalyse, die er gemeinsam mit einer externen IT-Fachperson vornimmt: Sie gehen die digitale Ablage der Firma durch, aber alle Ordner scheinen normal erreichbar zu sein, verschlüsselt ist nichts. Trotzdem weist Huber alle Mitarbeitenden an, sämtliche Passwörter zu ändern, und informiert die Geschäftsleitung. Sicher ist sicher.
Den Rest des Tages geht Huber seinen regulären Aufgaben nach. Alles halb so wild, glaubt er.
Bis am nächsten Tag das Telefon klingelt. Ein Rechercheteam der NZZ kontaktiert Huber. Was er sich dann anhören muss, will sich kein Manager von Journalisten erklären lassen: Auf dem Darkweb gebe es ein Erpresserschreiben gegen seine Firma. Etwa 100 000 Dollar in Kryptowährungen möge er in den kommenden zehn Tagen überweisen, sonst, drohen die Erpresser, würden Tausende interne Dokumente der Fischer GmbH veröffentlicht.
Um zu zeigen, dass es ihnen ernst ist, publizieren die Hacker schon ein paar Firmendokumente, harmlose zwar, doch dadurch merkt Huber: Dies ist keine leere Drohung, die haben tatsächlich interne Informationen gestohlen.
Damit wird Huber mit einem Schlag zum Krisenmanager. Das Tagesgeschäft rutscht auf der Prioritätenliste des Managers weit nach unten. Plötzlich sind da tausend Fragen in seinem Kopf: Warum wusste er bisher nichts von der Erpressung? Welche Daten wurden entwendet? Was muss er jetzt tun, um das Problem zu beheben?
Eine Angestellte im Innendienst geht nochmals alle E-Mails durch, die seit dem Serveralarm beim Unternehmen eingetroffen sind. Im Spam-Ordner entdeckt sie das Erpresserschreiben: «Hi», beginnt der Text, «wir haben Ihre Daten heruntergeladen. Falls Sie das Lösegeld nicht bezahlen, werden wir sie auf unserem Blog publizieren. Beste Grüsse.» Es folgt ein Link auf eine Darknet-Seite.
Nun weiss Huber wenigstens, wer ihn erpresst: Es ist eine berüchtigte Hackergruppe, die seit 2019 aus Russland operiert und die von der russischen Strafverfolgung geduldet wird, solange sie im Westen Unordnung stiftet, aber keine russischen Unternehmen angreift. Es sind Kriminelle, instrumentalisiert vom Kreml.
Selbst die Polizei kann nicht helfen
Huber schaltet die Polizei ein. Vom Lokalposten wird er an die Kriminalpolizei weitergeleitet, doch dort kann man ihm auch nicht helfen. Er solle nichts bezahlen, einfach einmal abwarten, soll es von offizieller Stelle geheissen haben.
Weiter meldet Huber den Hack dem Nationalen Zentrum für Cybersicherheit (NCSC). Dort habe man sich für die Information bedankt. Aber eine aktive Hilfe von einer Fachperson, wie sie Huber sich erhofft hatte, erhält die Fischer GmbH auch von der Behörde nicht. «Da fühlt man sich schon sehr allein gelassen», sagt Huber.
Die Fischer GmbH hat etwa zwanzig Angestellte, niemand ist Vollzeit mit der IT beschäftigt. Wie viele KMU, die sich schon lange keine IT-Fachpersonen mehr leisten können, ist die Fischer GmbH beim Thema Cybersicherheit halb blind. Man kauft die gesamte IT-Kompetenz ein: Ein externer Dienstleister betreibt die Server. Huber macht zwar Schulungen mit Angestellten und bringt das Thema IT-Sicherheit regelmässig in den Geschäftsleitungssitzungen ein, ist aber im Grunde darauf angewiesen, dass die Spezialisten die Sache im Griff haben.
Bisher ist die Fischer GmbH gut damit gefahren. Doch seit Cyberkriminelle vermehrt auch KMU angreifen, hat sich die Bedrohungslage geändert. «Dabei sind wir für Cyberbanden doch ein kleiner Fisch», sagt Huber.
Tatsächlich wäre bei grösseren Firmen in der Tendenz deutlich mehr Geld zu holen als bei KMU. Doch kleinere Unternehmen lassen sich heute mit wenig Aufwand angreifen: Die Banden testen zum Beispiel, ob ein Unternehmen die neusten Sicherheitsupdates gemacht hat. Falls nicht, schleusen sie sich innert Kürze automatisiert über die gleiche Schwachstelle in die Systeme mehrerer Firmen ein. Oder sie verschicken Phishing-E-Mails und hoffen, dass Firmenangestellte auf einen Link klicken und ein Schadprogramm herunterladen.
Laut den Angaben auf ihrer Darknet-Seite haben die Erpresser der Fischer GmbH mit solchen Strategien diesen Sommer über hundert Organisationen aus mehreren europäischen Ländern gehackt, darunter sogar ein Kloster. Treffen kann es also jede Organisation, selbst wenn sie, wie die Fischer GmbH, jährlich mehrere zehntausend Franken in die IT investiert.
Eine Lücke zwischen Updates – oder schwache Passwörter?
Wie die Angreifer genau in die Systeme der Fischer GmbH kamen, will Huber aus Sicherheitsgründen nicht ausführen. Er behauptet, dass eine Lücke in der Cyberabwehr entstanden sei, die sich zwischen zwei Sicherheitsupdates ergeben habe.
Vielleicht hat aber auch einfach ein Mitarbeiter auf einen Link in einer E-Mail geklickt und die Erpresser ins System gelassen. Dies wäre keine Seltenheit, schliesslich ist der Mensch in der Cyberabwehr die grösste Schwachstelle. Und die Angriffe werden immer besser, mal geben sich die Hacker als Postfinance aus, mal scheint die Nachricht von Galaxus zu stammen.
Bei der Fischer GmbH zeigt eine Analyse der im Darknet publizierten Daten aber auch ein weiteres Problem: unsichere Passwörter, bestehend etwa aus dem Firmennamen und der Postleitzahl, abgelegt in einem ungesicherten Word-Dokument. Haben die Angreifer Zugang zum Server, können sie sich so zu weiteren Systemen vorarbeiten, im schlimmsten Fall bis ins E-Banking.
Leak betrifft Tausende Privatpersonen
So weit kommt es bei der Fischer GmbH jedoch nicht, der Angriff stützt die Firma nicht so tief in die Krise, wie es die Hacker wohl gerne gehabt hätten. Alle internen Systeme laufen ungestört weiter, Geld ging keines verloren. Deshalb entscheidet sich die Fischer GmbH, nicht auf die Erpressung einzugehen. Sie lässt die Frist mit der Lösegeldforderung verstreichen.
Zum gleichen Schluss kommen laut einer Schätzung des Cybersicherheitsspezialisten Abdelkader Cornelius rund 60 Prozent der gehackten Firmen. Meist richten die Attacken also keine so grossen Schäden an, als dass sich die Unternehmen gezwungen sähen, Lösegeld zu zahlen.
Im September publizieren die Hacker deshalb mehr als 2500 Dateien der Fischer GmbH auf ihrer Darknet-Seite. Der Grossteil davon ist alte Information: längstens bezahlte Rechnungen, abgelaufene interne Dokumente, Bestelllisten. Dazu kommt aber eine lange Liste von Kundenadressen. Nun ist nicht mehr nur das KMU vom Hack geschädigt, sondern auch Tausende Privatpersonen: Publiziert wurden ihre Telefonnummern, E-Mail- und Wohnadressen – alles, was Kriminelle brauchen, um ihre Identität zu stehlen.
Die Fischer GmbH entscheidet sich deshalb zu einem mutigen Schritt: Sie informiert die betroffenen Kundinnen und Kunden über das Leak. Von mehreren tausend angeschriebenen Personen hätten sich weniger als zwei Dutzend gemeldet, sagt Huber, die meisten hätten sich für die transparente Information bedankt, hätten Wohlwollen und Verständnis geäussert.
Wer verklagt Secondhand-Verkäufer wegen 40 Franken?
Für die Fischer GmbH ist der grösste Teil der akuten Krisenbewältigung damit abgeschlossen. Trotzdem kämme man weiterhin alle Systeme durch und überprüfe den Betrieb weiter auf Cybersicherheit, sagt Huber. Schliesslich ist nicht ausgeschlossen, dass die Hacker – oder auch andere Straftäter – in den geleakten Firmenunterlagen heikle Informationen über die Fischer GmbH finden und ihr damit schaden.
Auch für die geschädigten Privatpersonen könnte der Hack künftig weitere Konsequenzen haben, denn ihre Daten könnten jetzt für andere Straftaten missbraucht werden. Ein Beispiel: Befindet sich im Datensatz der Fischer GmbH eine Person, von der aus einem anderen Hack schon ein E-Mail-Passwort, aber vielleicht noch nicht die Heimadresse bekannt war, können Cyberkriminelle nun mit der gestohlenen Identität auf einer Secondhand-Plattform wie Ricardo, Ebay oder Tutti erfundene Güter verkaufen, ohne den Käufern die Ware tatsächlich zuzusenden. Solche Fälle werden kaum je strafrechtlich verfolgt, weil sie meist eher günstige Güter betreffen. Wer klagt schon eine Secondhand-Verkäuferin an wegen einer nicht gelieferten Gusseisenpfanne für 40 Franken?
Marktplätze, die Adress- und Passwortlisten von gehackten Personen verkaufen, gibt es im Darknet zuhauf. Auf dem illegalen «Russian Market» beispielsweise sind solche Datensätze zu günstigen Preisen zu haben. Laut einer Recherche der Cybersicherheitsexperten Otto Hostettler und Abdelkader Cornelius kostet eine Liste mit 50 verschiedenen Log-ins von Schweizer Privatpersonen um die 10 Dollar. Damit ist gewerbsmässiger Betrug möglich, auch aus weit entfernten Weltregionen.
Das Beispiel der Fischer GmbH zeigt, warum es so schwierig ist, gegen die Internetkriminalität anzukommen: Die Strafverfolger sind machtlos, weil die Hacker aus dem Ausland angreifen und oft von der lokalen Regierung gedeckt werden. Die Leidtragenden sind Opferfirmen und Privatpersonen.
Und Huber? Er beauftragt einen zusätzlichen Cybersicherheitsexperten für regelmässige Reviews seiner IT-Sicherheit. Und bezeichnet den Vorfall im Rückblick auch als «persönlichen Stresstest».
Wurde ich gehackt?
Unter https://haveibeenpwned.com/ können Privatpersonen herausfinden, ob das Passwort zu einer bestimmten E-Mail-Adresse gestohlen wurde. Die Website wird regelmässig aktualisiert, kann aber in keiner Weise alle Hacks auf Privatpersonen analysieren. Insbesondere Hacks auf Kleinfirmen werden meist nicht berücksichtigt.
Mit Google Alerts kann man einen Alarm auf den eigenen Namen einrichten. Verwendet jemand im Internet den Namen, wird man per E-Mail benachrichtigt.