Attendorn. Eine Hackergruppe hat sich zu der Attacke auf das Attendorner Unternehmen Gedia bekannt. Offenbar soll der Automobilzulieferer erpresst werden.
Der Automobilzulieferer Gedia ist bei dem Cyberangriff vergangene Woche offenbar Opfer eines Erpressungstrojaners geworden. In einem Internetforum reklamiert eine Hackergruppe mit Bezügen nach Russland die Attacke für sich, wie die auf Nachrichten aus der IT-Welt spezialisierte Website „Bleeping Computer“ berichtet.
„Dass es eine Art Bekennerschreiben gibt, ist nicht typisch, aber es kommt vor“, erklärt Thomas Drewermann, Experte für Cloud-Sicherheit beim Sauerländer Unternehmen AHD. Die auf Cyberkriminalität spezialisierte Staatsanwaltschaft Köln und Gedia selbst äußern sich aus ermittlungstaktischen Gründen weiterhin nicht. Doch Vertriebsleiter Markus Hammer hatte – als der Angriff am Mittwoch öffentlich wurde – bereits die Vermutung geäußert, dass ein osteuropäisches Hackernetzwerk hinter der Attacke steht.
Kriminelle hinterlassen durch Posting Spuren
Der Forenbeitrag könne nun ein wichtiger Ansatz für die Ermittler sein, glaubt Thomas Drewermann. „Es gibt gute Hacker – und es gibt bekannte Hacker, aber nicht beides“, sagt er, „denn gute Hacker sind die, die man nicht erwischt.“ Wenn sich Cyber-Kriminelle im Internet profilieren, hinterlassen sie jedoch immer auch Spuren, denen Kriminalisten nachgehen können.
Auch interessant
Allem Anschein nach gelang es den Kriminellen in diesem Fall, mit einem Trojaner namens Sodinokibi in die IT-Systeme des Attendorner Unternehmens einzudringen. Von einem gezielten Angriff auf Gedia geht Thomas Drewermann nicht aus, eher von einem Zufallstreffer: „Die Täter verschicken millionenfach E-Mails“, erklärt der IT-Experte, „und sobald dann jemand eine infizierte Datei öffnet, meldet sich das System und die Hacker erhalten Zugriff.“
Hacker behaupten: 50 GB an Daten gestohlen
Im Fall Gedia behaupten die mutmaßlichen Täter, dass sie Daten in einer Größenordnung von 50 GB, darunter Zeichnungen, Mitarbeiter- und Kundendaten gestohlen und das Computer-Netzwerk verschlüsselt hätten. Die Erpresser drohen damit, die Daten zu veröffentlichen, sollte das Unternehmen das geforderte Lösegeld nicht zahlen. „Was sie nicht kaufen, posten wir kostenlos“, heißt es in dem Forenbeitrag.
„Wenn etwa geheime Konstruktionspläne veröffentlicht werden, entsteht ein Schaden, der nicht zu beziffern ist“, sagt Thomas Drewermann. „Das kann eine Firma vernichten.“
Dass die Hacker es ernst meinen, zeigt ein Beispiel aus den USA, über das ebenfalls „Bleeping Computer“ berichtet. Daten eines gleichermaßen mit dem Trojaner Sodinokibi attackierten Unternehmens veröffentlichten die Täter erst vor wenigen Tagen unverschlüsselt im Internet.
BSI bemüht sich vergeblich um Kontakt zu Gedia
Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das sich nach eigenen Angaben vergeblich um Kontakt zu Gedia bemühte, zählt Sodinokibi in einer Veröffentlichung aus dem Dezember zu den drei aktuell besonders gefährlichen Erpressungstrojanern. „Hier erfolgt üblicherweise die Erstinfektion über eine andere Schadsoftware“, erklärt das BSI. „Der Erstzugang zu einem System kann anschließend an andere Gruppen weiterverkauft werden, die dann versuchen, Gewinn zu erzielen. Es erfolgt hier teilweise eine ,Arbeitsteilung‘ im kriminellen Bereich.“
Auch interessant
Auch in Deutschland sind schon Fälle bekannt geworden, in denen Institutionen Opfer des Trojaners Sodinokibi wurden. Die DRK-Trägergesellschaft Süd-West, die rund 20 Gesundheitseinrichtungen in Rheinland-Pfalz und im Saarland betreibt, wurde Mitte Juli angegriffen. Ebenso wie bei Gedia wurden alle Server aus Sicherheitsgründen heruntergefahren. Nach BSI-Angaben war die medizinische Versorgung der Patienten stets gewährleistet, die Bereinigungsarbeiten seien aber auch nach drei Wochen noch nicht abgeschlossen gewesen.
Ermittlungen dürften noch viel Zeit in Anspruch nehmen
Dennoch rät das BSI betroffenen Unternehmen, das geforderte Lösegeld nicht zu zahlen. „Jede erfolgreiche Erpressung zeigt den Erfolg des Angriffs und motiviert den Angreifer weiter zu machen“, heißt es in der Veröffentlichung aus dem Dezember. Und wichtiger noch: „Es gibt keine Garantie, dass die Verbrecher auch ihr ,Wort halten‘ und die Entschlüsselung ermöglichen.“
Die Täter ausfindig zu machen, gestalte sich „sehr schwierig“, erklärt Thomas Drewermann. Expertengruppen bei den Ermittlungsbehörden müssten die Schadsoftware, die bei Gedia eingesetzt wurde, auseinander nehmen, um bestimmte Charakteristika zu finden, die einer Hackergruppe zugewiesen werden können – ähnlich wie Experten eine Handschrift einer bestimmten Person zuordnen können. Mit einem schnellen Ermittlungserfolg sei daher nicht zu rechnen.