Der Online-Vergleichsdienst Comparis ist Opfer einer Attacke von kriminellen Hackern geworden. Seit dem Mittwochmorgen waren verschiedene IT-Systeme blockiert und auch die Webseite Comparis.ch konnte nicht mehr aufgerufen werden. Das teilte Comparis am Donnerstag mit. Am Abend war die Webseite wieder erreichbar.

Mit der sogenannten «Ransomware»-Attacke verlangten die Angreifer «Lösegeld» für eine Entschlüsselung der Daten. «Es gab eine Lösegeldforderung in der Höhe von 400’000 Dollar, zahlbar in einer Kryptowährung», erklärt Comparis-Sprecher Michael Kuhn auf Anfrage dieser Redaktion. Man sei nicht per Email kontaktiert worden, sondern habe in verschlüsselten Bereichen einen Link auf eine URL erhalten, wo die Forderung genannt wurde. Das Unternehmen sei aber nicht auf die Forderungen eingegangen: «Wir haben kein Lösegeld bezahlt und werden auch keines bezahlen», bekräftigte Kuhn.

Am Donnerstag blieb auch die Erreichbarkeit via E-Mail und Kunden-Hotline eingeschränkt, schrieb Comparis in einer Mitteilung. Dies sei bewusst geschehen, um mögliche Zugänge zum System zu sperren. Kundendaten seien aber nach aktuellem Kenntnisstand von dem Vorfall nicht betroffen, versichert das Unternehmen.

Comparis hatte am Nachmittag angekündigt, dass die Webseite «comparis.ch» im Lauf des Donnerstag wieder online sein werde. Dabei habe dem Unternehmen geholfen, dass es regelmässig «Backups» ihrer Daten angelegt habe, wie der Sprecher bestätigte. Man bedaure die durch die Attacke verursachten Unannehmlichkeiten, so Comparis. Man habe mit Hochdruck gemeinsam mit Cybersecurity-Partnern an einer Lösung gearbeitet.

Sechs Millionen Dollar von Stadler Rail gefordert

Comparis ist rein vom Namen und der Bekanntheit her gesehen ein grösserer Hackerfall in der Schweiz. Schaut man auf die Lösegeldforderung, fällt aber vor allem Stadler Rail auf. Vom Ostschweizer Bahnbauer wurden im letzten Frühling sechs Millionen Dollar Lösegeld verlangt. Firmenchef Peter Spuhler blieb hart und zahlte nicht, worauf die Erpresser Daten von Stadler veröffentlichten.

Der grosse Kaseya-Fall

Bei einem der grössten erpresserischen Hackerangriffe waren seit dem letzten Freitagnachmittag weltweit vermutlich rund Tausende Firmen lahmgelegt worden. Die Hackergruppe «REvil» steht dabei im Verdacht, das Desktop-Management-Tool VSA von Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das Tausende Kunden des US-Tech-Management-Anbieters infiziert. Dabei wurden ganze Abrechnungssysteme durch die Verschlüsselung der Hacker blockiert. Der Angriff hatte Auswirkungen bis nach Europa.

Ob auch Schweizer Unternehmen getroffen wurden, ist bisher unklar. Comparis-Sprecher Michael Kuhn erklärt auf Anfrage, er könne nicht sagen, ob dieser Fall nun mit dem Kaseya-Fall etwas zu tun habe. Auch die offizielle Schweizer Cyber-Abwehr, das nationale Zentrum für Cybersicherheit (NCSC, früher Melani), kann keine genaueren Angaben zum Comparis-Fall machen: Ein Zusammenhang mit Kaseya wird derzeit offenbar nicht gesehen. «Dem NCSC sind bis heute noch keine Schweizer Unternehmen gemeldet worden, die vom Kaseya-Vorfall betroffen sind», schreibt NCSC auf Anfrage.

Das am schnellsten wachsende Segment der Cyberkriminalität sind sogenannte Ransomware-Angriffe, bei denen die Hacker mit Schadprogrammen Computer sperren oder darauf befindliche Daten verschlüsseln und erst nach einer Lösegeldzahlung wieder freigeben.

Innerhalb weniger Wochen wurden im Mai die IT-Systeme der grössten US-Pipeline Colonial, des weltweit grössten Fleischproduzenten JBS Foods, der irischen Gesundheitsorganisation HSE sowie des japanischen Technologiekonzerns Toshiba angegriffen. Hinter den Erpressungsversuchen bei Colonial und Toshiba steckt die Hackergruppe DarkSide. Colonial zahlte 4,4 Millionen Dollar in Bitcoin, JBS Foods rund 11 Millionen. HSE sollte 20 Millionen Dollar zahlen, weigerte sich aber.

Die Industrialisierung von Cybercrime

Die bekannten Lösegeldzahlungen haben sich 2020 mehr als vervierfacht und erreichten einen Wert von über 400 Millionen US-Dollar, wie die Sicherheitsfirma Chainanalysis vermeldet. In den ersten fünf Monaten 2021 waren es bereits weitere 80 Millionen. Die wahre Zahl dürfte weit höher liegen, da viele Opfer Erpressungen nicht melden. Gemäss der Cybersecurity-Firma Emsisoft haben zwei Dutzend Cyberkartelle 2020 an die 18 Milliarden Dollar kassiert, im Schnitt pro Operation rund 150’000 Dollar.

Das Erpressergeschäft wächst so rasant, weil sich die Branche industrialisiert. Cyberkriminelle haben ein eigenes Geschäftsmodell mit effizienter Arbeitsteilung geschaffen. Die Entwickler programmieren Schadsoftware und bieten diese im Darknet an, zusammen mit dem ganzen Dienstleistungspaket, das für die Durchführung eines Erpressungsangriffs benötigt wird: Dokumentationen, technischer Support, Updates, Zahlungsportale für die Opfer, «Kundenservice» usw. Das Prinzip nennt sich «Ransomware as a Service» (Raas) und kopiert das in der legalen Welt übliche Geschäftsmodell, bei dem die Software und IT-Infrastruktur bei einem externen IT-Dienstleister betrieben und vom Kunden als Dienstleistung genutzt werden kann.

Die kriminellen Partner mieten die Dienstleistung der Raas-Anbieter im Abonnement gegen eine Gebühr und/oder eine Beteiligung am Lösegeld. Sie kaufen oder mieten Trojaner und Viren und nutzen das Schadprogramm für Angriffe. Ein anderer Partner kassiert die Lösegelder und wäscht sie. Zudem bezahlen Hacker für Dienstleistungen wie Cloud-Hosting oder Log-in-Daten potenzieller Ziele.

Das Geschäftsmodell ermöglicht es auch Akteuren ohne spezielle Programmierkenntnisse, schnell und kostengünstig Erpressungen durchzuführen. Und es reduziert das Risiko für die Entwickler, weil sie die Angriffe nicht selbst ausführen müssen. Bitcoins werden über das Netzwerk weitergeleitet, über kaum regulierte Kryptobörsen gewaschen und in Cash umgewandelt. Manchmal wird das Geld vergraben, den Besitzern werden die Koordinaten zugeschickt, erzählt Tom Robinson vom Blockchain-Analysespezialisten Elliptic. Kleinere Summen werden auch über Krypto-Geldautomaten und Online-Gambling-Websites gewaschen.

Cyberabwehr hinkt den Hackern hinterher

Der Markt ist umkämpft. Die Raas-Betreiber – sie sitzen häufig in Russland – führen Marketingkampagnen durch, um Partner zu finden. Der Gesamtumsatz mit Erpressersoftware wird auf 20 Milliarden Dollar im Jahr 2020 geschätzt, gegenüber 11,5 Milliarden im Vorjahr.

Anfang Juni gelang es dem FBI in einem spektakulären Gegenschlag, einen grossen Teil des Colonial-Lösegelds zu beschlagnahmen. Die Fahnder hatten eine digitale Geldbörse (Wallet) der Hacker sowie die Verschlüsselungscodes identifiziert. Details wollte das FBI nicht bekannt geben. Als Reaktion darauf weichen immer mehr Hacker auf die Kryptowährung Monero aus, um Lösegelder spurlos verschwinden zu lassen. «Wir beobachten eine Verschiebung hin zu Monero», bestätigt Bryce Webster-Jacobsen von der Cybersicherheitsfirma Groupsense, weil Bitcoin-Transfers via Blockchain nachverfolgt werden können. Monero-Experte Justin Ehrenhofer erwartet, dass bis Ende 2021 der Anteil von Monero von 10 auf 50 Prozent der Erpresserfälle ansteigen wird. Die Kryptowährung verwendet ein lückenlos verschlüsseltes System, wodurch sämtliche Transaktionen anonym bleiben.

Die Kosten für Cyber-Abwehrmassnahmen schiessen durch die Decke. Microsoft schätzt die Ausgaben 2020 auf 124 Milliarden Dollar. Hunderte von Firmen beraten Regierungen, Konzerne und Institutionen und helfen bei Angriffen. Vermittleragenturen greifen ein, um Lösegeldforderungen herunterzuhandeln. Gezahlt wird meist – was Experten kritisieren. Denn je häufiger Hacker kassieren, umso wahrscheinlicher sind neue Angriffe. Zudem fühlen sich Nachahmer ermutigt, ebenfalls in die Erpresserszene einzusteigen.

Der Wettlauf zwischen digitalen Gangs und IT-Abwehrspezialisten ist voll entbrannt, doch die Angreifer sind im Vorteil. Das Überraschungsmoment ist auf ihrer Seite, der Angriff erfolgt oft unbemerkt, die Täter sind unsichtbar, kaum zu verfolgen und sitzen meist in Ländern, in denen sie von den Behörden nicht verfolgt werden, vor allem in Russland.

Wie professionell und raffiniert staatliche Angreifer vorgehen, zeigt der Fall Solarwinds. Die texanische Softwarefirma war von Unbekannten über Monate infiltriert und ausspioniert worden. Die massive Operation wurde laut Microsoft-Präsident Brad Smith von rund 1000 Ingenieuren in Russland aufgesetzt. Erst im Dezember 2020 entdeckte die Cyberabwehrfirma Fireeye das Komplott, als sie selber gehackt und Software gestohlen wurde. Rund 100 Fireeye-Spezialisten suchten wochenlang, ehe sie fündig wurden. Die Angreifer hatten einen Trojaner in ein Update für Solarwinds Software «Orion» eingeschleust. Wer das Update installierte, fing sich den Trojaner ein. 18’000 Firmen waren betroffen, darunter Teile des Pentagon und weitere US-Ministerien. Fireeye-Chef Kevin Mandia beschrieb bei einer Anhörung im US-Senat, dass man den Server von Solarwinds komplett auseinandernehmen musste, um die Schwachstelle zu finden. Solarwinds war ein Weckruf. Auch Lieferketten in der IT-Industrie sind verwundbar und weisen systematische Schwachstellen auf.

/cpm/Hans-Jürgen Maurus, Jürg Candrian

Fehler gefunden?Jetzt melden.