Am 24. November 2020 lief bei der dänischen Nachrichtenagentur „Ritzau“ plötzlich gar nichts mehr.

So gut wie alle dänischen Medien, auch „Der Nordschleswiger“, beziehen von der Agentur Meldungen aus Dänemark und der weiten Welt. Aber nun gab es keinen Zugang zu dem Nachrichtendienst.

Hacker waren in das IT-System von „Ritzau“ eingedrungen und hatten begonnen, die Daten zu verschlüsseln. Am Tag darauf erzählte der Direktor der Agentur, Lars Vesterløkke, die Hacker hätten Geld verlangt, um die Daten wieder freizugeben.

„Das war ein professioneller Angriff. Wir nehmen an, sie leben davon. Sie haben eine Nachricht hinterlassen, wie man sich freikaufen kann. Wir haben uns entschlossen, nicht zu zahlen“, sagte er zu „Berlingske“.

Mehr als ein Viertel zahlt

Die Software, die die Hackergruppen in solchen Fällen einsetzen, wird nach dem englischen Wort für Lösegeld „Ransomware“ genannt. Ransomware-Attacken zählen zu den häufigsten Formen von gezielten Angriffen von Cyberkriminellen auf Firmen. Auch in Dänemark werden Firmen und Behörden laut der dänischen IT-Sicherheitsbehörde, Center for Cybersikkerhed (CFCS), regelmäßig solchen Erpressungsversuchen ausgesetzt.

Nicht ohne Grund sind sie unter den Kriminellen populär, wenn man es aus deren Warte betrachtet. Im Gegensatz zu „Ritzau“ zahlen weltweit 27 Prozent der Opfer, berichtet „Computerworld“ auf Grundlage einer Umfrage der Sicherheitsfirma Crowdstrike. Die durchschnittliche Lösegeldsumme: 1 Million US-Dollar, umgerechnet 6,5 Millionen Kronen. Gezahlt wird in Bitcoins oder anderen Kryptowährungen.

Die doppelte Erpessung

Das CFCS zählt diese Form der Cyberkriminalität seit 2019 auch in Dänemark zum „Normalbild“. Und laut dem Zentrum setzen die Hacker neuerdings bei ihren Erpressungsversuchen noch eins drauf: Sie drohen damit, sensible Daten der betroffenen Firma oder Behörde zu veröffentlichen. Dadurch seien die Folgen für die Organisationen noch schwerwiegender geworden, vor allem weil die kriminellen Gruppen regelmäßig die Drohung wahr machen, wenn nicht gezahlt wird.

„Durch die doppelte Erpressung werden die möglichen Konsequenzen eines gezielten Ransomware-Angriffs noch schwerwiegender, weil die Opfer nicht nur den Zugang zu wichtigen IT-Systemen verlieren, sondern auch befürchten müssen, dass geschäftlich empfindliche oder personenbezogene Daten an die Öffentlichkeit dringen“, schreibt das CFCS in seiner jüngsten Risikoeinschätzung.

Kriminelle Industrie

Hinzu kommt, dass die Hackergruppen immer besser organisiert werden. Sie tauschen in geschlossenen Internetforen schädliche Software und Zugangsdaten zu potenziellen Opfern aus.

„Mehrere kriminelle Hackergruppen und Netzwerke arbeiten zusammen, um gezielte Ransomware-Angriffe durchzuführen, die ein sehr einträgliches Geschäft sein können. In den Fällen, in denen die Zusammenarbeit organsiertere Formen annimmt, spezialisieren die Hacker sich verstärkt und führen jeweils nur einen begrenzten Teil der Attacke aus, oder liefern Hilfestellungen gegen einen Anteil der Beute“, lautet die Einschätzung der Sicherheitsbehörde.

Allmählich ist diese Form der Kriminalität so gut organisiert, dass Hinterleute Software entwickeln und Informationen über Zugänge an ausgewählte Hacker liefern, die sie dann beauftragen, die Erpressungsversuche auszuführen.

Auch Staaten wie Nordkorea sollen laut CFCS direkt an Cyberkriminalität beteiligt sein. Das Land soll durch digitale Bankraubs, Angriffe auf Kryptowährungsbörsen und Verbreitung von Software zum Diebstahl von Kryptowährung umgerechnet Milliarden an Kronen gestohlen haben.