SENDETERMIN Mi., 11.11.20 | 21:45 Uhr | Das Erste

Millionen-Zahlungen: Unternehmen gehackt und erpresst

PlayRansomware ist laut BKA "die größte Bedrohung" für Wirtschaftsunternehmen.
Millionen-Zahlungen: Unternehmen gehackt und erpresst | Video verfügbar bis 11.11.2021 | Bild: BR

  • Rechner werden verschlüsselt, nichts geht mehr. Sogenannte "Ransomware" ist ein großes Problem für die deutsche Industrie.
  • Hacker wollen Lösegeld, viele Unternehmen sehen sich gezwungen zu zahlen.
  • Aus einem Chatverlauf geht nun hervor, wie hart diese Verhandlungen geführt werden.

Es geht um Minuten, um Leben und Tod. Eine Patientin wird im September dieses Jahres in die Uniklinik Düsseldorf eingeliefert. Doch die Notaufnahme ist geschlossen, Hacker sind in die Netzwerke der Klinik eingedrungen und haben die Daten verschlüsselt. Nichts geht mehr. "Keine Notarztwagen, keine Hubschrauber, kein Krankenwagen kam mehr", erklärte Frank Schneider, Ärztlicher Direktor der Klinik, und weiter: "Die Ambulanzen war geschlossen, das ist eine schreckliche Zeit für uns und unsere Patienten."

Die Patientin muss in eine nahegelegene Klinik gebracht werden. Sie verstirbt unterwegs. Der Fall sorgt international für Schlagzeilen, auch deshalb, weil seither die Staatsanwaltschaft Köln ermittelt, welche Schuld die Hacker trifft.

BKA: Ransomware "Die größte Bedrohung"

Ransomware nennen IT-Sicherheitsexperten es, wenn sämtliche Daten auf einem Rechner verschlüsselt werden. Nichts geht mehr. Das Bundeskriminalamt (BKA) bezeichnet Ransomware als "die größte Bedrohung" für Wirtschaftsunternehmen. Denn ursprünglich hatten Hacker es auf Einzelpersonen abgesehen, doch mittlerweile haben sie erkannt, dass es viel lukrativer ist, die Systeme in großen Konzernen zu verschlüsseln. Da lässt sich mehr Geld verdienen. Denn wenn ein Hotel keinen Zugriff mehr auf die Datenbank besitzt und Mitarbeiter nicht wissen, welche Gäste kommen, dann sind die Abläufe gestört und der Druck an die Erpresser zu zahlen, ist entsprechend groß.

Der Kupferhersteller KME
Der Kupferhersteller KME | Bild: BR

Groß war der Druck auch beim Kupferhersteller KME, einem Mittelständler mit Sitz in Osnabrück. Das geht hervor aus einem Chat, den Plusminus einsehen konnte. Den Hackern war es gelungen, digital in die Firma einzudringen. Die Produktion lief nur noch eingeschränkt. Auf Rechnern zu sehen: eine Datei mit dem Namen "Lies mich". Eine erste Botschaft der Hacker, mit detaillierten Anweisungen und einer Anmerkung: "Das ist für uns nur ein Geschäft. Wir haben absolut kein Interesse an euch, wir wollen nur profitieren." Beigefügt ist ein Link in das Darknet, also in jenen Teil des Internets, der mit gängigen Web-Browsern nicht zu erreichen ist. Dort warten die Hacker. Sie wollen verhandeln. KME lässt sich darauf ein. Auf eine Anfrage von Plusminus reagierte das Unternehmen nicht.

Täter zu ermitteln ist schwierig

Das Uniklinik in Düsseldorf
Das Uniklinik in Düsseldorf  | Bild: BR

Im Fall der Uniklinik in Düsseldorf muss nicht verhandelt werden. Die Hacker haben den Schlüssel zur Verfügung gestellt, mit dem sich die Daten entschlüsseln ließen. Sie sprachen von einem "Irrtum", man habe es ursprünglich nicht auf die Klinik abgesehen. Überprüfen lässt sich das nicht. Was allerdings klar ist: Herauszufinden, wer hinter diesem Angriff steckt, dürfte mühselig werden, erklärt Christoph Hebbecker von der Staatsanwaltschaft in Köln. "Es zeichnet sich aber ab, dass es sehr, sehr schwierig wird, tatsächlich nachzuweisen, ob ein kausaler Zusammenhang zwischen dem Cyberangriff und dem Tod der Person tatsächlich besteht." Die Staatsanwaltschaft ermittelt wegen versuchter Erpressung, Computersabotage und fahrlässiger Tötung.

Auch KME hat Polizei und Staatsanwaltschaft eingeschaltet. Außerdem einen Verhandlungsführer, der mit den Hackern Kontakt aufnehmen sollte. Dieser beginnt den Chat: "Es ist unmöglich für meinen Klienten, euch 7,5 Millionen Dollar zu zahlen, angesichts der Finanzlage wegen Covid-19 bietet er 500.000 Dollar an." Die Hacker sind unbeeindruckt: "Wir haben jeden Tag mit vielen Firmen Deals, Covid-19 ist bereits eingepreist."

Zähe Verhandlungen

Chat mit den Hackern
Chat mit den Hackern  | Bild: BR

Es beginnen zähe Verhandlungen, die sich über Tage ziehen. Die Hacker beginnen zu drohen: "Wenn Sie kurzfristig zahlen, akzeptieren wir 6,75 Millionen Dollar, wenn nicht, beginnen wir nach und nach Daten von Ihnen zu veröffentlichen." Der Verhandlungsführer appelliert an das gute Gewissen der Hacker. "Sie haben das falsche Opfer ausgewählt, unsere Versicherung übernimmt kein Lösegeld. Deshalb sind maximal 750.000 drin, und das kostet schon Jobs, aber das ist euch ja egal."

Christoph Fischer leitet die Firma BFK edv-consulting. Dieses Jahr hat er knapp 20 Verhandlungen geführt und in sechs Fällen Geld für Unternehmen überweisen müssen, insgesamt sechs Millionen Euro. Gezahlt werde oft dann, wenn keine Daten mehr da seien.

Deal: 1,27 Millionen US-Dollar

Die Hacker erkennen, dass KME zu zahlen bereit ist. Plötzlich sind sie bereit, sich mit deutlich weniger Geld zufrieden zu geben. "Ihr letztes Angebot beträgt 1,27 Millionen Dollar, wie viel Zeit brauchen sie für die Zahlung?", schreiben die Hacker und bekommen als Antwort: "Einen Tag". Tatsächlich erscheint kurz darauf im Chat die Nachricht: "Wir haben überwiesen." Und tatsächlich halten die Hacker ihr Versprechen. KME kann die Systeme wieder entsperren.

Offiziell raten Behörden davon ab, Hacker zu bezahlen. Es gebe keine Sicherheit, dass die Daten in allen Fällen entschlüsselt werden.

Bericht: Hakan Tanriverdi, Reinhard Weber/BR
Stand: November 2020

Stand: 11.11.2020 23:56 Uhr

10 Bewertungen
Kommentare
Bewerten

Kommentare

Kommentar hinzufügen

Bitte beachten: Kommentare erscheinen nicht sofort, sondern werden innerhalb von 24 Stunden durch die Redaktion freigeschaltet. Es dürfen keine externen Links, Adressen oder Telefonnummern veröffentlicht werden. Bitte vermeiden Sie aus Datenschutzgründen, Ihre E-Mail-Adresse anzugeben. Fragen zu den Inhalten der Sendung, zur Mediathek oder Wiederholungsterminen richten Sie bitte direkt an die Zuschauerredaktion unter info@daserste.de. Vielen Dank!

*
*

* Pflichtfeld (bitte geben Sie aus Datenschutzgründen hier nicht Ihre Mailadresse oder Ähnliches ein)

Kommentar abschicken

Ihr Kommentar konnte aus technischen Gründen leider nicht entgegengenommen werden

Kommentar erfolgreich abgegeben. Dieser wird so bald wie möglich geprüft und danach veröffentlicht. Es gelten die Nutzungsbedingungen von DasErste.de.