Datendiebstähle nehmen zu, und immer häufiger werden Unternehmen damit erpresst. Ein etwas naives Narrativ der Opfer dabei lautet: Die Verbrecher hätten versprochen, die Daten zu löschen. Man sei sich sicher, dass sie dies auch tun würden, denn dies sei schließlich ihr Geschäftsmodell.
Nach einem Vorfall in Norddeutschland, bei dem Cyberkriminelle Daten von mehr als 5.000 Krankenhaus-Patienten und -Patientinnen abgegriffen hatten, zitiert der NDR mit obiger Aussage einen „Insider“, der davon ausgeht, dass das betroffene Unternehmen die Erpressungssumme gezahlt habe. Verbunden ist damit wohl die Hoffnung, dass nichts weiter passieren wird, weil es sich um hochkritische medizinische Daten von über 100.000 Menschen handelt.
Ein Blick zurück - Ransomware
Um zu verstehen, wie es zu dieser Aussage kommt, aber auch warum sie heute eher als „naiv“ zu bezeichnen ist, dient ein Blick in die Vergangenheit, genauer gesagt, in die Anfangszeit der Erpressung mit Kryptotrojanern, sprich „Ransomware“. Die Idee, Daten zu verschlüsseln und Opfer für die Entschlüsselung bezahlen zu lassen, wurde ab 2015 zunächst auf Endgeräten und ab ca. 2018 systematisch in Netzwerkumgebungen zur Massenplage.
Die Täter hatten dabei ein Problem: Als Verbrecher traute ihnen niemand. Die Daten zu verschlüsseln ist das eine, aber um erfolgreich Geld zu erpressen, müssen die Opfer darauf hoffen können, dass sie den Zugriff auf ihre Daten zurückerhalten. Die entsprechenden Gangs nutzten dabei fast schon so etwas wie Marketing. Zum einen gaben sie ihre Namen bei der Verschlüsselung an, zum anderen boten sie sogar einen gewissen „Service“, der den zahlenden Opfern bei der Entschlüsselung half.
Für viele Ransomware-Gruppen war es tatsächlich ein „Geschäftsmodell“, „ehrlich“ mit ihren zahlenden Opfern umzugehen, um weitere Zahlungswillige sozusagen mit „Referenzen“ zu beruhigen.
Double und Triple Extortion
Weil aber trotz aller Bemühungen immer weniger Opfer bereit waren, für die Entschlüsselung zu bezahlen, änderten die Täter das Geschäftsmodell. Man stahl nun vor der Verschlüsselung immer auch Daten. So konnten die Angreifer nachweisen, dass sie tatsächlich den Zugang hatten (und damit der richtige Verhandlungspartner sind), zusätzlich wurde das Opfer (double) und teilweise dessen Partner (tripple) mit Veröffentlichung dieser Daten erpresst.
Nun gibt es auch hier wieder das gleiche Problem für die Täter. Nur weil ein Verbrecher sagt, er würde die gestohlenen Daten löschen, wenn das Lösegeld bezahlt ist, bedeutet das ja nicht, dass er das auch wirklich tun würde. Deshalb sind die Täter bemüht, ihren Opfern zu suggerieren, dass die Daten wirklich gelöscht werden. Eine berühmte Ausnahme ist der Fall Change Healthcare. Die zwei an dem Ransomware-Angriff und Datendiebstahl beteiligten Tätergruppen waren untereinander uneins, ausbaden durfte es das Opfer. Es wurde von beiden nacheinander erpresst, trotz Zahlung an die erste.
Tatsächlich „naiv“?
Um den Kreis zu schließen -- es ist durchaus nachvollziehbar, warum auch im Falle von Datendiebstahl bei den Opfern die Idee des „ehrlichen Erpressers“ existiert. Aber warum sollte das als „naiv“ bezeichnet werden?
Bei Ransomware-Attacken bewies die erfolgreiche Entschlüsselung die „Ehrlichkeit“ sofort. Beim Datendiebstahl ist das anders, denn „Sicherheitskopien“ dieser Daten können bereits angefertigt, weiterverkauft oder archiviert worden sein, noch bevor die Erpresserbotschaft versendet wurde, und ohne, dass ein Opfer in der Lage wäre das zu überprüfen. Je nach Inhalt ist es zudem möglich, Fragmente wie E-Mailadressen oder ähnliches zu extrahieren und weiterzuverwenden. Sogar wenn der gesamte Bestand zum Training einer KI eingesetzt würde, hätte das Opfer aktuell keine technische Möglichkeit herauszufinden, dass dem so ist.
Das Problem der gestohlenen Daten ist also ein grundsätzlich anderes als das der Verschlüsselung. Man sollte die beiden deshalb bei der Betrachtung des „Geschäftsmodells“ nicht gleichsetzen. „Ehrlichkeit“, die nicht überprüft werden kann, ist nichts anderes als eine Glaubensfrage. Aber für Abgabe von ein paar Münzen erteilt ein herbeigerufener Sachverständiger sicherlich die Absolution und attestiert die Ehrlichkeit der Diebe.
Fazit
Die Zahl der Datendiebstähle nimmt aus verschiedenen Gründen zu. Technologien wie XDR aber auch Backups sind darauf ausgelegt, Zugriffe zu erkennen und Gegenmaßnahmen zu steuern bzw. im Notfall aufzuräumen. Das ist häufig mit etwas Zeitaufwand verbunden. Wenn es um Ransomware geht, ist die in der Regel gegeben. Doch Datendiebstahl passiert innerhalb von wenigen Minuten. Wenn das SOC-Team den Alarmknopf drückt, ist der meist schon geschehen.
Ein Hauptgrund ist aber auch, dass es ein florierendes Geschäft mit den Daten gibt. Ob das Opfer nun zahlt oder nicht, ändert nichts am Gewinn der Täter. Wie oben beschrieben, besteht eine gewisse Wahrscheinlichkeit, dass mehrfach kassiert wird. Beides zusammen macht die Sache noch lukrativer für die Täter.
Das Thema Datenschutz sollte man im KI Zeitalter nicht auf die leichte Schulter nehmen. Die KI bietet Kriminellen heute ganz andere Möglichkeiten, aus gestohlenen Daten Gewinne zu ziehen und ändern damit das Problem von Industriespionage aber auch von Erpressbarkeit, Insiderhandel und Wissenstransfer.
Die offene „Ransomwar-Erpressung“ mag dabei als das kleinere der möglichen Übel erscheinen. Das Bezahlen der geforderten Summe kann die Verbrecher davon abhalten, die Reputation des Opfers weiter zu beschädigen. Es wird sie aber nicht daran hindern, die Daten weiter zu veräußern – nun, da bestätigt wurde, dass sie einen Wert haben, zumal das vom Opfer nicht überprüfbar ist. Betrifft das beispielsweise die personenbezogenen Details von Dritten, könnten diese weiter angegriffen werden. Deshalb ist Transparenz und Offenheit darüber, was passiert ist, für alle so wichtig, die es direkt betrifft (DSGVO).
Was ist zu tun?
Um sich auf derartige Angriffe vorzubereiten, bieten sich folgende Techniken an:
- Risikominimierung: KI-gestützte Analysetechniken erlauben das Monitoring des Netzwerks vor dem Angriff und ermöglichen es, potenzielle Exfiltrationspunkte zu identifizieren und zu schließen.
- Agentische SIEM-Lösungen können die SOC-Prozesse stark beschleunigen und ermöglichen deutlich schnelleres, wenn nicht automatisiertes Handeln.
- Zero Trust Ansätze definieren Zugriffspunkte und -rechte auf wichtige Datenbestände und können im Zweifel sogar bestehende Sitzungen abbrechen.
- Data Loss-Techniken erlauben es wichtige Datenbestände zu klassifizieren und besonders zu schützen.
Nach einer Erpressung gilt es für Opfer, die folgenden Fragen zu beantworten:
- Wurden uns tatsächlich Daten gestohlen?
Nur weil ein Krimineller behauptet, Daten gestohlen zu haben, heißt das nicht, dass dem auch so war. Denken Sie daran, dass Sie nicht der einzige Adressat dieser Behauptung sein könnten und die Kriminellen lediglich Datenmüll über Ihre Reputation an Dritte verkaufen möchten. - Welche Daten wurden uns gestohlen?
Tatsächlich kann man den Datentransfer häufig nachweisen und damit auch die Größenordnung bestimmen. Woher genau diese Daten stammen, ist dagegen schwieriger, aber wichtig für alle weiteren Aktivitäten wie etwa die Meldung an die Datenschutzbehörden. Diese Frage sollte man vorbereiten und Prozesse nicht nur etablieren, sondern auch testen. Technisch gesehen unterstützen wieder die oben genannten Techniken.