Die Esslinger Kripo hat ein Erpresser-Netzwerk aufgespürt, das Firmen ausgespäht und Daten gestohlen hat. Die Stuttgarter Journalistin Eva Wolfangel ist Expertin auf diesem Gebiet – und warnt davor, die Gefahren zu ignorieren.

Lokales: Christine Bilger (ceb)

Die EsslingerKripo hat ein Erpresser-Netzwerk aufgespürt, das Firmen ausgespäht und Daten gestohlen hat. International haben Ermittlungsbehörden kooperiert, um die Server diese Gruppe namens Hive im Darknet stillzulegen. Die Stuttgarter Journalistin Eva Wolfangel ist Expertin auf diesem Gebiet – und warnt davor, die Gefahren zu ignorieren.

 

Frau Wolfangel, das FBI und die Esslinger Kripo feiern gemeinsam das Stilllegen der Hive-Server als großen Erfolg. Was hat Sie mehr überrascht: Die Existenz der Gruppe Hive oder wie der Fall aufgedeckt wurde?

Eva Wolfangel: Ganz klar wie er aufgedeckt wurde. Das ist an diesem Fall das eindeutig Interessantere – dass die Polizei hier offenbar eine Spur hatte, die den US-Ermittlungsbehörden geholfen hat. Hive selbst, die im Juni 2021 erstmals beobachtet wurde, ist eine von vielen Ransomware-Gruppen mit ähnlicher Vorgehensweise und gleichem Geschäftsmodell.

Ist der Fall den typisch für das Vorgehen solcher Ransomware-Gruppen, die Daten verschlüsseln und dann Geld erpressen?

Ja, was die Gruppen üblicherweise machen, ist, durch eine Sicherheitslücke einzudringen, die Netze ausspionieren, sich mehr Rechte verschaffen, und dann Daten abziehen, verschlüsseln und Lösegeld verlangen, um sie wieder zu entschlüsseln. Ein neuer Trend ist, dass sie mit der Veröffentlichung der Daten drohen, wenn dann das Unternehmen kein Lösegeld – englisch heißt das Ransom – bezahlt. Auf der Leak-Liste der Gruppe im Darknet habe ich auf den ersten Blick lediglich den Konradin-Verlag aus der Region gefunden. Auf welchen Fall sich die aktuellen Ermittlungen beziehen, verraten die Behörden nicht.

„Ich gehe davon aus, dass Hive wieder auferstehen wird“

Ist das – aus Ihrer Expertinnensicht – ein kleiner, großer oder mittlerer Fall?

Hive ist keine große Gruppe. Es gibt deutlich größere – Lockbit zum Beispiel, die im Juni 2022 die Firma Bizerba angegriffen haben. Allerdings wächst die Bedeutung der Gruppe, und offenbar sind sie sehr flexibel, wenn es darum geht, auf Maßnahmen von Behörden zu reagieren. Von daher gehe ich davon aus, dass sie wieder auferstehen werden.

Sie haben auch international zu dem Thema recherchiert. Was muss es uns sagen, dass die Ermittelnden den Sperrhinweis auch auf russisch hinterlassen haben, als sie deren Server lahmlegten?

Die Wahrscheinlichkeit ist auch unabhängig davon groß, dass die Leute hinter Hive von Russland aus agieren. Offenbar kommunizieren sie in Russisch, zudem können sich Kriminelle dort gut verstecken, weil es keine Zusammenarbeit mit internationalen Behörden gibt.

Man hört sicher nicht von jedem Angriff was. Es gibt mehr, als wir mitbekommen, oder?

Ransomware-Gruppen greifen gerade permanent Firmen an, aber auch viele Universitäten an. Nicht alle Unternehmen verständigen die Behörden, die Dunkelziffer ist also hoch.

Wann muss ich denn als Bürgerin richtig Angst bekommen? Es war im Zusammenhang mit Hive die Rede von Krankenhäusern in den USA, die keine Patienten mehr aufnehmen konnten. Da besteht dann Gefahr für Leib und Leben.

Ja, das kann bedrohlich werden. Vor ein paar Jahren hatten wir die Wannacry-Attacke, da waren in Großbritannien sehr viele Krankenhäuser betroffen. Niemand spricht gerne darüber, ob deshalb Menschenleben gefährdet waren. Aber ich habe einen Arzt gesprochen, der sagte, man habe Leute nicht mehr behandeln können. Es gibt auch die Geschichte vom Angriff auf eine Düsseldorfer Klinik im Jahr 2020, da soll eine Frau weggeschickt worden sein und starb dann wenig später. Aber wie gesagt: Es ist nicht klar, ob ein direkter Zusammenhang bestand. Gut behandeln können Krankenhäuser aber jedenfalls nicht, wenn sie keinen Zugriff auf ihre Daten mehr haben.

Attackieren diese Ransomgruppen auch aus politischen Gründen, oder steckt immer Politik dahinter, wenn Staaten angegriffen werden?

Das ist schwierig zu sagen. Natürlich beobachtet man im Fall des russischen Angriffskrieges auf die Ukraine, dass sich Ransomware-Gruppen aus Russland auf die Seite ihrer Regierung gestellt haben und dann bewusst Strukturen sabotiert haben. Gerade in Russland vermischen sich staatliche und kriminelle Hacker zunehmend. Für mein Buch habe ich einige Beispiele recherchiert, wie Russland sich an den kriminellen Gruppen bedient. Sie haben sehr begabte Hacker, und sie haben viele.

Geht Russland dann überhaupt nicht gegen solche Gruppen vor?

Russland lässt sie straffrei, solange sie keine russischen Personen oder Unternehmen angreifen. Das kann man auch an der Software sehen: Die analysiert, ob der Computer eine russische Tastatur hat. Ist das der Fall ist, wird der Angriff gestoppt. Damit sind sie sicher vor der Strafverfolgung in Russland.

Wird das für uns in Deutschland auch heikler mit dem Fortgang des Krieges?

Ja, auf jeden Fall. Es gab ja auch eine kleine Angriffswelle, als die Panzer zugesagt wurden. Vor einem halben Jahr wurde bereits bekannt, dass russische Staatshacker in die Computer-Netze einiger deutscher Energie-Anbieter eingedrungen sind und dort möglicherweise für Angriffe spioniert haben. Sie wurden zum Glück rechtzeitig entdeckt.

„Der Schlag gegen Hive wird nicht nachhaltig sein“

Jetzt haben wir über mehrere Fälle gesprochen, in denen früh agiert wurde. Aber einen Grund zur Entwarnung sehen Sie da nicht – gemäß dem Motto, man kann die Gruppen auch stoppen?

Nein, am Beispiel des aktuellen Falles sieht man: Es wurde Technik gefunden, aber sie haben die Menschen dahinter nicht festgenommen. Die Technik ist schnell wieder aufgebaut. Die werden einfach weitermachen. Hive hat bereits in der Vergangenheit seinen Schadcode umgeschrieben, nachdem das FBI einige Entschlüsselungs-Schlüssel veröffentlicht hatte. Dieser Schlag gegen Hive wird nicht nachhaltig sein.

Was lernen wir als Privatpersonen aus solchen Fällen?

Das Problem ist, dass wir teilweise gezwungen werden, unsere Daten in unsicheren Systemen zu speichern. Wenn ich ins Krankenhaus muss oder an einer Universität studiere, dann sind zwangsläufig meine Daten in deren Systemen – und die Erfahrung zeigt, dass sie nicht immer gut geschützt sind. Aber privat kann ich darauf achten, was ich mit meinen Daten mache. Ich persönlich speichere zum Beispiel sensible Daten nur noch lokal und bin auch beim Onlineshopping sehr vorsichtig.

„Aber in meinen Mails steht doch nichts, was Verbrecher interessiert“, das hört man oft. Ein Trugschluss?

Ja, denn die können sehr viel mit den Daten anfangen. Wenn zum Beispiel Telefonbetrüger anrufen und versuchen, an mein Konto zu kommen, dann hilft es ihnen, wenn sie Details wie meine Adresse, Geburtstag, Krankenkasse und dergleichen wissen. Oder mit wem ich mich zuletzt per E-Mail ausgetauscht habe. Das macht deren Geschichten glaubhafter.

Ist das Problembewusstsein der Behörden, der Unternehmen und der Politik groß genug?

Leider nicht. Die Kriminellen dringen ja oft durch bekannte Sicherheitslücken ein. Meist werden diese erst öffentlich bekannt, wenn es bereits Updates gibt, mit denen man die Lücken schließen kann. Aber vor allem Behörden und Unis haben oft veraltete Software. Kriminelle scannen das Internet automatisiert nach solchen angreifbaren Servern. Man kann sagen: Solange die Kriminellen durch bekannte Sicherheitslücken eindringen können, ist die Sensibilität nicht hoch genug.

Zur Person

Eva Wolfangel
Die Stuttgarter Journalistin Eva Wolfangel hat sich nach ihrem Tageszeitungsvolontariat und ihrer ersten Redakteurinnenstelle 2008 selbstständig gemacht und der Reportage-Agentur Zeitenspiegel angeschlossen. Seit 2014 ist sie komplett frei tätig. Sie arbeitet als Wissenschaftsjournalistin und schreibt große Reportagen für Magazine und Tageszeitungen. Ausgezeichnet wurde sie unter anderem als European Science Writer of the Year im Jahr 2018.

Buch Zum Thema Hackerangriffe und Cybercrime hat Eva Wolfangel das Buch „Ein falscher Klick“ im Penguin-Verlag veröffentlicht.