Nicht verhandelbar

Jung, männlich, technikbegeistert, wenig Sozialkontakte, hohes Bedürfnis nach Aufmerksamkeit – so ähnlich stellen sich viele den typischen Cyberkriminellen vor. Seit Jahren versuchen wir, dieses Klischee aus den Köpfen zu vertreiben.

Sie sind falsch und „der“ Cyberkriminelle wird verharmlost. In Wahrheit ist er hochprofessionell und nur durch eines motiviert: Geld.

Ein aktueller Fall in der Schweiz zeigt, dass ein großer Teil des Cybercrime-Geschäfts eng mit der „klassischen“ Kriminalität verbandelt ist:

Ein E-Mail-Provider wurde mittels „Distributed Denial of Service“-Attacken angegriffen. Dieser Teil der Tat, die Drohung, fand zwar tatsächlich im Cyberspace statt. Im nächsten Schritt jedoch wurden Schutzgeldforderungen gestellt – ganz alte Schule also.

Keine Geschäfte mit Verbrechern

Gemäß der aus der Politik bekannten Doktrin

„Wir gehen nicht auf Lösegeldforderungen ein“

entschloss sich der Provider gegen die Zahlung. Der angekündigte Angriff folgte – und richtete sich nicht nur gegen den E-Mail-Provider selbst, sondern auch gegen dessen Internet Service Provider sowie sein Rechenzentrum und war so massiv, dass auch andere Kunden betroffen waren.

Der Druck stieg enorm, sodass der E-Mail-Provider die geforderte Summe von 15 Bitcoins (circa 5.350 Euro) schließlich zahlte. Die Angriffe gingen weiter – auch nachdem die Forderungen erfüllt waren.

Der E-Mail-Provider hat diesen Angriff inzwischen mit vielen Details öffentlich gemacht und verlautbart, dass er nie wieder Lösegeld zahlen werde. Dank einer Zusammenarbeit mit der Melde- und Analysestelle Informationssicherung Schweiz (Melani) ist darüber hinaus klar geworden, dass die Angriffe weitere Firmen ins Visier genommen haben und entweder in verschiedenen Stufen oder sogar von verschiedenen Gruppen ausgeführt werden.

Das Beispiel zeigt, dass wir es eben nicht mit jugendlichen „Nerds“ zu tun haben, die ein wenig randalieren. Cyberkriminelle von heute gehören zur organisierten Kriminalität.

Dies zeigt sich sowohl an der Nutzung erprobter „Geschäftsmodelle“ (z. B. Schutzgelderpressungen), die in den Cyberspace übertragen werden, als auch an den notwendigen Strukturen im Hintergrund.

Im realen Leben ist die Geldübergabe für die Kriminellen der gefährlichste Teil ihrer Unternehmung. Auch sind Strafverfolgungsbehörden seit vielen Jahrzehnten Meister darin, der „Spur des Geldes“ zu folgen. Daher der hohe Bedarf an immer neuen Methoden der Geldwäsche.

Im konkreten Fall wurde das Schutzgeld via Bitcoins gezahlt. Aber auch Cryptowährungen sind nicht so anonym. Es ist zwar schwer, ein Konto (bzw. „Wallet“) einem Benutzer zuzuweisen – aber Inhalte und Transaktionen sind für jeden öffentlich einseh- und nachvollziehbar.

Auch bei Cryptowährungen ist das Geldwaschen also integraler Bestandteil des Geschäftsmodells. Ich gehe davon aus, dass bereits viele andere Unternehmen ebenfalls Opfer solcher Angriffe geworden sind – das ergibt sich zwangsläufig aus der Reife der Angriffe und Prozesse, aber auch aus unseren Untersuchungen des Cyber-Untergrunds.

Oft zahlen die Opfer einfach stillschweigend – doch damit bestärken sie die Kriminellen in ihrem Vorgehen. Daher bin ich dem E-Mail-Provider dankbar, dass er diesen Fall jetzt in das Licht der Öffentlichkeit gerückt hat und damit deutlich machte, dass Bezahlen keine Lösung ist.

Wie bei der klassischen Schutzgelderpressung werten die Kriminellen dies nur als Zeichen, dass sie ihre Opfer „gebrochen“ haben und mit etwas mehr Druck noch weiter gehen können – Gewinnmaximierung sozusagen.

Sollten Sie also Opfer einer solchen Attacke werden, informieren Sie die Strafverfolgungsbehörden oder entsprechende Meldestellen! Nur dann besteht die Chance, den Fall beispielsweise durch Informationen über ähnliche Fälle in einen größeren Zusammenhang zu setzen oder die Spur des Geldes – und damit auch der Erpresser – zu verfolgen.

Auf dass die dahinterstehenden Kriminellen auch im digitalen Zeitalter ganz klassisch hinter Schloss und Riegel gebracht werden können.