Berlin. Kaum eine Gruppe greift Firmen so oft an wie LockBit. Wie die Hacker vorgehen – und was die größte Schwachstelle der Unternehmen ist.

Die Tinte ist noch frisch, schwarz und rot. Ein „L“ und ein „B“ kunstvoll ineinander verschlungen. Dazu der unmissverständliche Aufdruck: LockBit. Stolz präsentiert der Nutzer „Bassterlord“ das Logo auf seinem Unterarm. Bassterlord gehört keinem Kokain-Kartell an, sondern ist Teil der derzeit gefährlichsten Hackergruppe der Welt – LockBit. Dabei handelt es sich nicht um einen kleinen Hacker-Zusammenschluss, sondern vielmehr um eine riesige Erpresserfirma. Meldungen aus der letzten Zeit:

  • Japans größter Handelshafen steht nach Hackeangriff still.
  • LockBit bekennt sich zu Attacke auf Pharma-Riesen Granules India.
  • Nach Cyberangriff auf Halbleiterkonzern TSMC fordert LockBit 70 Millionen Dollar.
  • Ende 2022 wird der deutsche Autozulieferer Continental Opfer.

Kein Land in Europa ist laut einem Insider-Bericht so oft von Hackerangriffen auf Unternehmen betroffen wie Deutschland. „Die Bedrohung durch Cybercrime steigt seit Jahren und verursacht teils massive wirtschaftliche und gesellschaftliche Schäden“, sagt der Präsident des Bundeskriminalamts, Holger Münch, im Gespräch mit unserer Redaktion.

Lockbit erpresst mit „Ransomware“ Millionen von Unternehmen

Auf rund 200 Milliarden Euro schätzt der Branchenverband Bitkom jedes Jahr den Schaden durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Fast jedes Unternehmen sei in irgendeiner Form betroffen.

Immer wieder: sogenannte Angriffe mit „Ransomware“. Die Hacker verschlüsseln das Computernetzwerk ihres Opfers mit einer „Ransomware“, also einer Schadsoftware – und fordern Lösegeld von der Firma für die Freigabe der Daten. Eine Form der digitalen Erpressung, die „existenzbedrohend“ für die Unternehmen sein kann, wie BKA-Chef Münch sagt.

Cyberkriminelle nutzen moderne IT-Technik – aber auch die Ermittlerinnen und Ermittler: Eine KI-Wissenschaftlerin des Landeskriminalamt Niedersachsen arbeitet an Computerbildschirmen und programmiert Lösungen mit Künstlicher Intelligenz zum Auffinden von zum Beispiel kinderpornografischen Inhalten im Internet.
Cyberkriminelle nutzen moderne IT-Technik – aber auch die Ermittlerinnen und Ermittler: Eine KI-Wissenschaftlerin des Landeskriminalamt Niedersachsen arbeitet an Computerbildschirmen und programmiert Lösungen mit Künstlicher Intelligenz zum Auffinden von zum Beispiel kinderpornografischen Inhalten im Internet. © picture alliance/dpa | Julian Stratenschulte

Und der Vize-Präsident von Deutschlands Cyberabwehrbehörde BSI, Gerhard Schabhüser, sagt: „Ransomware stellt nach Einschätzung des BSI weiterhin die größte Cyber-Bedrohung für Staat, Wirtschaft und Gesellschaft dar.“ Unter den finanziell motivierten Akteuren sei LockBit „aktuell die größte Ransomware-Bedrohung in Deutschland wie auch weltweit“.

„Ransomware as a Service“ – eine Art Dienstleister für Kriminelle

LockBit hat ein bemerkenswertes Geschäftsmodell entwickelt. An der Spitze soll eine Gruppe aus Russland stehen, allen voran ein bisher unbekannter Hacker, der sich narzisstisch im Netz präsentiert, und unter dem Namen „LockBitSupp“ auftritt. Die Gruppe ist weltweit aktiv, doch erpressen Firmen gar nicht selbst. Das erledigen ihre „Partner“ („affiliates“). LockBit stellt die Erpresser-Software und die technische Infrastruktur bereit – im „Darknet“, dem verschlüsselten Internet, in dem vor allem Kriminelle aktiv sind.

Lesen Sie auch: WhatsApp und Co. – vor diesen Betrugsmaschen warnt die Polizei

Ermittler sprechen von „Ransomware as a Service“, LockBit ist eine Art Dienstleister für Cyberkriminelle. Die „Partner“ arbeiten nicht selten in Netzwerken zusammen: Die einen dringen in Computer ein und verschlüsseln die Daten, die anderen erpressen das Lösegeld. LockBit selbst bekommt dann nur einen Anteil der Einnahmen, eine Art Provision oder Nutzungsgebühr.

Was nach einer irren Parallelwelt klingt, hat LockBit perfektioniert. Mit Werbeanzeigen im Darknet buhlt die Hackergruppe mit einem „Affiliate programm LockBit 2.0“ um neue „Partner“. Darin heißt es: „Das Einzige, was du tun musst, ist dir Zugang zum Hauptserver zu verschaffen.“ LockBit 2.0, also das Update der Schadsoftware, mache „all den Rest“.

Legale Konzerne würden stolz von „Cooperate Identity“ sprechen

5000 Dollar Preisgeld in einem „Summer Paper Contest” riefen die Chefs von LockBit 2020 auf einem russischen Hacker-Forum aus. Das Ziel: Hacker in aller Welt sollten Schwachstellen in Netzwerken finden, um dort einzudringen, oder die eigene Verschlüsselung der Daten nach einem Angriff verbessern, also die eigene Schadsoftware besser machen. „Schreib einen Artikel – verdiene Geld für den Urlaub“, wirbt LockBit.

Lesen Sie auch: Vor diesen Cyber-Gefahren warnen die deutschen Sicherheitsbehörden

Aktuell nutzt die Gruppe „LockBit 3.0“ und „LockBit Green“, eine Art Cybercrime-Update ihrer Software. Und für Fotos mit Tattoos des Logos wie von „Bassterlord“ zahlen die Hacker sogar Geld. Eine große PR-Nummer. Legale Konzerne würden stolz von „Cooperate Identity“ sprechen.

Cyberkriminelle nutzen oft Software, die kostenlos und frei verfügbar im Netz ist.
Cyberkriminelle nutzen oft Software, die kostenlos und frei verfügbar im Netz ist. © dpa | Nicolas Armer

Doch was hipp und innovativ ist, ist zugleich schwer kriminell. Häufiger als früher würden Cyberkriminelle „auch öffentliche Verwaltungen, Hochschulen und Arztpraxen ins Visier“ nehmen, sagt BKA-Chef Münch. „Auch diese Angriffe können massive Auswirkungen haben, wenn etwa Verwaltungen über Wochen arbeitsunfähig sind.“ Im Januar legte LockBit ein Kinderkrankenhaus in Kanada lahm. Und entschuldigte sich kurz danach kleinlaut.

Gefährlichste Hackergruppen: Alphv, BlackBasta, Royal, Play und LockBit

Zudem: Nicht nur die IT einer Firma wird verschlüsselt, sondern sensible Daten durch Ransomware-Gruppen abgegriffen. „Double Extortion“ nennen das Fachleute. Doppelte Erpressung, doppeltes Lösegeld. Hacker drohen damit, den Diebstahl der Daten öffentlich zu machen. Oftmals ein existenzieller Image-Schaden für ein Unternehmen. Der Druck zu zahlen, ist enorm.

Lesen Sie auch:Wie ein Deutscher Millionen Menschen den russischen Angriffskrieg erklärt

Wir erreichen Jon DiMaggio per Telefon in den USA. Der Cyberexperte schaffte das, was nur wenigen gelang: Er ging undercover – und kam in den inneren Zirkel von LockBit. Sicherheitsbehörden nutzen heute seine Informationen. DiMaggio sagt, die Männer hinter LockBit seien eher Geschäftsleute als nerdige Hacker. Der Cyberexperte schätzt den Gewinn auf 100 Millionen Dollar im vergangenen Jahr.

2020 hätten die LockBit-Angreifer noch sieben bis 21 Tage daran gearbeitet, ein lukratives Firmennetzwerk zu knacken. „Heute dauert es nur noch Stunden.“ Dabei arbeiten nicht nur weltweit „Partner“ aus ihren Wohnzimmern oder ausgebauten Dachgeschossen für die Cyberkriminellen – sie nutzen auch ganz herkömmliche Computerprogramme bei ihren Angriffen.

Der russische Angriffskrieg spaltet die Szene der Cyberkriminellen

Eine Analyse amerikanischer und deutscher Sicherheitsbehörden führt eine ganze Liste kostenfreier und frei verfügbarer Software auf, die auch LockBit-Hacker nutzen. Eines davon ist „7-zip“ – ein Programm, um Dateien zu komprimieren, ein anderes heißt „Any Desk“, das einen Zugriff auf Computer fernsteuern lässt. Und etwa „TDSS Killer“ – ein Programm, das eigentlich vor verdeckten Angriffen auf ein IT-Netz schützen soll. Die Hacker nutzen es, um eben diese Schutzprogramme für Laptops und Handys zu umgehen.

Ein Hackerangriff ist nicht teuer, er geht schnell, bleibt oft unentdeckt – und bringt viel Geld. Deshalb boomt der Markt der Cyberkriminellen. IT-Experten wie Manuel Atug sprechen von einer „Ransomware-Pest“. Die Gruppen, die deutsche Sicherheitsbehörden besonders sorgenvoll beobachten: Alphv, BlackBasta, Royal, Play. Und eben LockBit.

Soll Deutschlands IT sicherer machen: die neue Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner.
Soll Deutschlands IT sicherer machen: die neue Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner. © dpa | Michael Kappeler

Lange bestimmte die Gruppe „Conti“ das Geschäft. Doch der russische Angriffskrieg auf die Ukraine kostete „Conti“ Macht, brachte das Netzwerk zu Fall. Kurz nach Beginn des Krieges bot die Gruppe der russischen Regierung „volle Unterstützung“ an, wollte ukrainische Infrastruktur ins Visier nehmen. Doch viele zogen nicht mit, „Conti“ spaltete sich auf. LockBit nutzte die Schwäche des Konkurrenten, lancierte Kampagnen über eine mutmaßliche Zusammenarbeit von „Conti“ mit russischen Geheimdiensten.

Im Schatten des Ukraine-Krieges steigt LockBit auf zur Nummer 1

Und LockBit stellte klar: „Für uns ist es nur Business, und wir sind apolitisch.“ In seiner Analyse des Netzwerks schreibt Cyberexperte DiMaggio dazu: „Dieser Schachzug war schlau.“ Denn die Hackergruppe „Conti“ wurde selbst zum Ziel pro-ukrainischer Hacker, Daten wurden geleaked und gelangten an die Öffentlichkeit. Ein Fiasko fürs Geschäft.

Im Schatten des Krieges stieg LockBit auf zur Nummer eins der Ransomware-Hacker. Immer wieder gibt es auch Gerüchte über eine Nähe von LockBit zu russischen Stellen. Doch Belege fehlen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt auf Nachfrage, dass die Betreiber der LockBit-Software ihren „Partnern“ den „Einsatz der Ransomware gegen russischsprachige Opfer und Länder der früheren Sowjetunion untersagen würden.

Durch den Krieg ist die Cybersicherheit für Deutschland stärker in Gefahr. Das sieht auch BKA-Chef Münch im Gespräch mit unserer Redaktion so: „Der Angriffskrieg Russlands gegen die Ukraine hat die Bedrohungslage weiter verschärft; Cyberangriffe sind Teil der hybriden Kriegsführung“. Einzelne Hackerkollektive hätten sich mit den Kriegsparteien solidarisiert. „Dabei verschwimmen die Grenzen zwischen staatlichen und kriminellen Akteuren im Cyberraum“, so Münch.

Cyberangriffe: Oft ist nicht die Technik ein Risiko für Firmen

Im Fokus der Tätergruppierungen stünden hierbei nicht nur die Kriegsparteien selbst, sondern auch andere Staaten. Ein brisanter Fall: Im vergangenen Jahr attackierten Putin-Fans des Netzwerks „Killnet“ westliche Webseiten, darunter Internetauftritte deutscher Behörden und Ministerien. Auch die IT des Verteidigungsbündnisses Nato stand im Visier der Hacker.

Immer wieder fallen deutschen Sicherheitsbehörden Verbindungen von Cyberkriminellen zu russischen staatlichen Stellen auf. Was weiß Präsident Wladimir Putin über die Umtriebe der Hacker-Kollektive?
Immer wieder fallen deutschen Sicherheitsbehörden Verbindungen von Cyberkriminellen zu russischen staatlichen Stellen auf. Was weiß Präsident Wladimir Putin über die Umtriebe der Hacker-Kollektive? © AFP | ALEXANDER KAZAKOV

Der Kampf gegen Hackergruppen ist schwer. Die Täter sitzen im Ausland, meist dort, wo Deutschland mit der Polizei ohnehin nicht kooperiert, etwa Russland oder China. Das Netzwerk an „Partnern“, das LockBit bei Angriffen nutzt, ist schier unüberschaubar für die Ermittler. „Aber wir schaffen es auch immer wieder Erfolge zu erzielen, indem wir ihr Geschäftsmodell zerstören, ihre kriminelle Infrastruktur“, sagt Münch.

Die Polizei zielt auf die Plattformen, auf denen illegales Geld gewaschen wird. Sie zerstört die „Marktplätze“ der Cyberkriminellen. Zuletzt etwa den Geldwäsche-Dienstleister „Chipmixer“ oder den Online-Markt „Hydra Market“. Das BKA hat nach eigenen Angaben allein in diesen beiden Fällen mehr als hundert Millionen Euro beschlagnahmt.

Neue Software, bessere Passwörter – so können sich Firmen schützen

Doch dort, wo Märkte zerstört und Geld und Software beschlagnahmt wurden, kommen neue Cyberkriminelle nach. Und so warnen Verfassungsschützer und Kriminalbeamten immer wieder: Gerade deutsche Mittelständler und auch Behörden in den Kommunen tun noch immer zu wenig, um sich vor Erpresserangriffen zu schützen. „Unternehmen schützen ihre Maschinen mit Pförtnern, Zäunen und Überwachungskameras, aber arbeiten mit veralteten Programmen für den Virenschutz und nutzen keine Software-Updates“, sagt IT-Experte Atug.

Lesen Sie auch: Wie gut ist Deutschland gegen Cyberkriminelle gerüstet?

Die Sicherheitsbehörde BSI rät in dem LockBit-Papier, die Server eines Unternehmens regelmäßig mit aktueller Anti-Viren-Software zu bespielen. Auch gibt es die Möglichkeit, sogenannte „Sandboxed Browsers“ einzurichten, mit denen Mitarbeiter im Internet surfen, ohne direkt Anschluss zum Firmennetzwerk zu legen. Auch Rechte für Administratoren, die Zugriff zur kritischen IT haben, sollte begrenzt sein.

Am Ende liegt die Schwachstelle, die Kriminelle nutzen, aber häufig nicht in der Technik – sondern beim Menschen. Unvorsichtige Mitarbeiter, die auf einen unbekannten E-Mail-Anhang oder einen Link klicken. Oder Angestellte, die noch immer solche Passwörter vergeben: 1234.