Immer häufiger. Immer gieriger. Kriminelle Hacker haben Unternehmen und öffentliche Einrichtungen im Visier und drohen oft damit, auch die Daten von unbeteiligten Kunden zu veröffentlichen. Neben der Elektronikmarktkette Mediamarktsaturn erwischte es nun in den USA auch den Aktien- und Kryptoanlagen-Broker Robinhood, der mit seiner App insbesondere bei jungen Leuten populär ist. Auch der IT-Dienstleister Medatixx, der jede vierte Arztpraxis in Deutschland mit Software beliefert, meldete einen Angriff.

Wie bei den meisten Cyberattacken der vergangenen Wochen und Monate geht es ums Geld. Die Robinhood-Hacker sind nun nach Angaben des Unternehmens im Besitz der E-Mail-Adressen von rund fünf Millionen Kunden, bei zwei Millionen wurde auch der volle Namen erbeutet. Mit dieser Kombination lassen sich wiederum gefährliche Phishing-Mails generieren, um bei den Kunden Passwörter und andere sensible Informationen abzufischen.

Der US-Broker kann immerhin seine Dienste weiter in vollem Umfang anbieten, auch wenn die Hackerattacke das Image beschädigt und den eigenen Aktienkurs nach unten gedrückt hat.

Härter hat es die Elektronikmärkte von Mediamarktsaturn getroffen, weil der Angriff das Tagesgeschäft massiv behindert. Der Branchenprimus hatte sich in der Nacht zum Montag eine Erpresser-Software eingefangen, die in wenigen Minuten die Daten von über 3.000 Servern verschlüsselte. Damit wurde das komplette Warenwirtschaftssystem der Gruppe lahmgelegt. In den Filialen von Mediamarkt und Saturn konnte nur noch mit Bargeld bezahlt werden, weil Kartenabbuchungen nicht mehr möglich waren. Geschenkgutscheine konnten nicht eingelöst, Garantiefälle nicht mehr abgewickelt werden.

Nach einem unbestätigten Bericht des Onlinemagazin Bleepingcomputer haben die Erpresser mithilfe der Schadsoftware Hive für die Freigabe der Daten zunächst 240 Millionen US-Dollar Lösegeld verlangt, dann aber ihre unrealistisch hohe Forderung reduziert. Mediamarktsaturn steht nun zum einen vor der Herausforderung, die Systeme aus hoffentlich noch brauchbaren Backups wiederherzustellen.

Unklar blieb am Dienstag aber, ob die Angreifer die Daten vor der Verschlüsselung auch noch kopiert haben, heißt es in dem Bericht. Hive ist für eine „Double Extortion“ (doppelte Erpressung) bekannt, bei der die Opfer nicht nur mit den verschlüsselten Daten erpresst werden, sondern auch damit gedroht wird, Kopien der Daten zu veröffentlichen. Sicherheitsexperte Rüdiger Trost von der Firma F-Secure befürchtet Schlimmes: „Man kann davon ausgehen, dass die Angreifer schon sehr lange im Netzwerk aktiv waren und Zeitpunkt und Zielsysteme mit Bedacht gewählt haben.“

Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit, auch weil die Erpressung ein besonders einträgliches Geschäft ist. Abgerechnet wird oft in der Digitalwährung Bitcoin: Nach Angaben des US-Finanzministeriums belief sich der Gesamtwert der verdächtigen Bitcoin-Aktivitäten, die in den ersten sechs Monaten des Jahres 2021 im Zusammenhang mit Ransomware gemeldet wurden, auf 590 Millionen Dollar. Dieser Wert liegt höher als die 416 Millionen Dollar, die für das gesamte Jahr 2020 gemeldet wurden.

Aber trotz ständiger Hinweise der US-Behörden und des Bundesamtes für Sicherheit (BSI) auf die angespannte Sicherheitslage gelingt es den Kriminellen dennoch, ihre Schlagzahl zu erhöhen. Dafür gibt es mehrere Gründe. Zum einen haben viele Unternehmen und öffentliche Einrichtungen ihre IT-Systeme nicht im Griff. Sicherheitsupdates werden gar nicht oder verspätet eingespielt. Nach einem Cyber-Angriff auf das Berliner Kammergericht empfahlen Experten sogar, die marode IT-Infrastruktur komplett zu ersetzen.

„Die Angriffe richten sich zusehends auf große und somit lukrative Ziele“, sagt Experte Trost. Jenseits der großen Unternehmen und Schlagzeilen sehe es aber nicht besser aus. „Im Gegenteil: Der Mittelstand wird immer häufiger angegriffen. Die sind schlechter geschützt und wehren sich nicht so heftig. Und es gibt immer mehr Cyberkriminelle, die Ransomware-Attacken betreiben.“

Gleichzeitig müssen die Angreifer auch nicht mehr technische Experten sein, um Cyberattacken zu starten. Ransomware kann man inzwischen als Service im Netz buchen. Dabei teilen die Angreifer das erpresste Geld mit den Hackern, die die Schadsoftware entwickelt haben.

Die Kriminellen profitieren aber auch davon, dass Ransomware-Attacken nicht entschieden bekämpft werden. Viele Angriffe haben ihren Ursprung in Russland oder Osteuropa. Sicherheitsexperten zufolge kann man aber insbesondere in Russland keine klare Grenze zwischen kriminellen Hackergruppen und staatlich unterstützten Cyberoperationen ziehen. Sie unterstellen der russischen Regierung, sie toleriere oft kriminelle Aktivitäten, solange sie auf das Ausland abzielen. Russlands Präsident Wladimir Putin dementiert das.

Nun ist es allerdings Ermittlern aus Europa, den USA und anderen Teilen der Welt gelungen, mutmaßliche Mitglieder der Hackergruppe Revil aufzuspüren, die vor allen in Osteuropa verortet wird. Das US-Justizministerium teilte mit, in Polen sei ein Ukrainer gefasst worden, der im Verdacht stehe, unter anderem hinter der großen Cyberattacke auf den amerikanischen IT-Dienstleister Kaseya zu stecken. Über eine Schwachstelle bei Kaseya waren Anfang Juli Hunderte Unternehmen in den USA und anderen Ländern mit Erpressungssoftware angegriffen worden. Die Polizeibehörde Europol teilte in Den Haag mit, in Rumänien seien zwei Menschen festgenommen worden, die mit der gleichen Software Attacken begangen haben sollen.

Für Sicherheitsexperte Trost ist der Schlag gegen Revil eine Zäsur: „Cyberkriminelle müssen zukünftig aufpassen, nicht zu dreist zu agieren. Über einer bestimmten Schwelle muss man ansonsten mit den USA und ihren Verbündeten rechnen. Und wer will schon weltweit sein Leben lang von den USA gejagt werden?“ dpa