Im ersten Halbjahr des vergangenen Jahres haben sich Hacker-Angriffe weltweit mehr als verdoppelt, so die Bilanz der Organisation Cyber Investigations (CIFR). Deutschland zählte schon 2020 offiziell 14,8 Millionen "Infektionen" mit kriminellen Schadprogrammen, die den Netzbetreibern übermittelt wurden. Die sind ebenso alarmiert wie Versicherungsunternehmen, Softwarehersteller oder das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Bedrohungslage ist hoch, kein Tag ohne Einbrüche in das IT-Universum.

Daten- und Identitätsdiebstahl, Spionage, Sabotage, aber auch politische Einflussnahme, Zerstörungswut – es gibt viele Motive für Hacker-Attacken. Geld abzocken ist das Wichtigste. Als einträgliches Geschäftsmodell haben sich erpresserische Cyberangriffe mit Lösegeld-Forderungen etabliert. "Ransomware" heißt der Schrecken der IT-Welt, gemeint sind von Hackern eingeschleuste Blockade- und Verschlüsselungssoftware, die IT-Systeme so lange lahmlegen bis das geforderte Lösegeld (englisch: Ransom) – meist in Bitcoin-Währung – bezahlt wird.

Liste der Geschädigten ist endlos

Für das Jahr 2020 meldete das FBI für die USA einen Anstieg der Lösegeldforderungen um 225 Prozent. Den Schaden für die Unternehmen schätzt Cybersecurity Ventures für das vergangene Jahr auf weltweit 20 Milliarden US-Dollar. Er wird, so die Prognose, in den nächsten zehn Jahren auf über 250 Milliarden anwachsen. Das BSI bilanziert in seinem Lagebericht: "Die Qualität der Angriffe nimmt weiter beträchtlich zu (…) Cyber-Kriminelle verschlüsseln immer häufiger Daten von Unternehmen und Institutionen in ausgefeilten mehrstufigen Angriffen, um Lösegelder zu erpressen. Die Folgen sind oft fatal."

Big Game Hunting heißt die neue Strategie der Angreifer: Großwildjagd. Sie attackieren nicht mehr vorrangig Einzelpersonen, sondern Unternehmen und Institutionen, bei denen mehr zu holen ist. Die Liste der Geschädigten ist endlos. Universitäten, Städte und Gemeinden, Gesundheitsdienste, Wasserwerke, Fleischproduzenten, Verlage, Airlines, Kreuzfahrtschiffe – fast alle Branchen werden gehackt und erpresst.

Zu den spektakulärsten Fällen gehörte am 8. Mai 2021 der Konzern Colonial Pipeline, der mit seinem computergesteuerten Leitungsnetz von 9.000 Kilometern fast die gesamte Ostküste der USA mit Öl-Produkten versorgt. Das Unternehmen zahlte 4,4 Millionen Dollar an die Hacker, dennoch kam es zu Versorgungsengpässen und Schlangen an den Tankstellen.

In Deutschland sorgten die Attacken auf die Verlagshäuser Madsack und Funke-Mediengruppe für Aufregung und Zeitungsausfälle. In Mecklenburg-Vorpommern wurden die IT-Systeme von einem ganzen Dutzend Kommunen durch Verschlüsselungstrojaner abgeschaltet. In Sachsen-Anhalt war der Landkreis Anhalt-Bitterfeld nach einer Erpresserattacke monatelang offline. Keine Baugenehmigungen, keine Sozialleistungen, keine Autozulassungen, nichts ging mehr. Der Landrat rief den Katastrophenfall aus, IT-Experten der Bundeswehr mussten anrücken.

Nordrhein-Westfalen registrierte einen besonders dramatischen Angriff: In der Nacht auf den 10. September 2020 fangen die Computer der Universitätsklinik Düsseldorf an zu zicken. Der morgendliche Dienst beginnt mit Irritationen und zunehmender Verzweiflung. Die gesamte IT funktioniert nicht mehr. Kein Mail-Empfang, kein Austausch von Patientenbefunden, keine Kommunikation. Hacker haben alle 30 Server der Klinik verschlüsselt und lahmgelegt. Über Botendienste werden die Stationen informiert. Doch der Klinikbetrieb muss weiterlaufen. 500 Ärzt*innen laden auf ihren Smartphones eine Not-Kommunikationsapp hoch, um Informationen und Befunde auszutauschen.

Eine Patientin stirbt

Die Angreifer haben ein Erpresserschreiben hinterlassen. Als ihnen klar wird, dass sie nicht wie beabsichtigt die Universität, sondern ein Krankenhaus überfallen haben, rudern sie zurück und senden den digitalen Schlüssel zur Wiederherstellung der IT-Systeme. Das dauert. 13 Tage lang kann die Uniklinik keine Notfallpatienten aufnehmen, Behandlungen und OPs werden abgesagt. Der Rettungsdienst muss entfernte Kliniken anfahren, eine Notfallpatientin stirbt.

Bis heute gibt es keine Spur zu den Tätern. Die arbeiten immer dreister, sind "besser organisiert, haben ihre Taktik verfeinert", bilanziert der Versicherer Allianz Global Corporate & Specialty (AGCS). Ransomware wird im Darknet wie ein Staubsauger bei Ebay angepriesen. So können sich potenzielle Täter das Werkzeug fürs Hacking leicht besorgen. Bei technischen Problemen wird der Support gleich mitgeliefert. Selbst Kriminelle mit geringem IT-Knowhow können sich dort bedienen, warnt AGCS. Attacken mit Erpressersoftware werden so zum globalen Geschäftsmodell.

Corona-Pandemie und Homeoffice beschleunigen den Trend, bieten Infektionswege frei Haus. Von ihren Privatrechnern aus greifen Millionen Heimarbeiter Tag für Tag auf die Unternehmens-IT zu. Und schleusen, ohne es zu merken, als blinde Passagiere Schadprogramme ein.

Mit der fortschreitenden Digitalisierung wächst auch das Risiko. Ein noch kaum beachtetes Einfallstor für Cyberkriminalität entsteht zum Beispiel mit dem Autonomen Fahren. Schon heute sind Auto, Bus und Lkw mit Navis und anderen intelligenten Assistenzsystemen mit der Außenwelt vernetzt. Selbständig fahrende Autos sind nichts anderes als rollende Computer. Tesla-Chef Elon Musk gruselt sich, wenn er an mögliche Folgen denkt. Sollte es Hackern gelingen, seine Fahrzeugflotte zu entern, es wäre womöglich "das Ende von Tesla". Nicht nur Flottenbetreiber mit ihrer anfälligen IT-Architektur, auch jeden einzelnen Autofahrer kann es treffen. Fahrzeuge werden von Erpressern so lange stillgelegt, bis ein Lösegeld bezahlt ist. Hacking im Verkehr – das kann auch tödlich enden, warnt Sebastian Meerschiff von der Universität Duisburg Essen.

Trotz der gewaltigen Bugwelle an Cyberkriminalität wirkt die öffentliche Reaktion relativ verhalten. Es kursieren Vorstellungen von pubertierenden, gelangweilten Nerds, die vor dem Computer sitzen und Spaß haben, wenn sie mal eben die Polizeistation Castrop-Rauxel hacken. Auch abends beim Krimi nimmt der Kommissar gern die Hilfe von Cyberpunks in Anspruch, die sich mit fliegenden Fingern in fremden Servern tummeln. Hinzu kommt, dass Hacking längst zum normalen Werkzeugkasten staatlicher Akteure bei Militär und Geheimdiensten gehört.

Unterdessen kämpfen BSI, Versicherer, IT-Experten und Hersteller von Anti-Virenprogrammen einen heroischen Kampf gegen immer neue Schadware. Doch ihre Ratschläge – Doppel-Authentifizierung, kluge, niemals doppelt verwendete Passwörter, Sicherheitsschulungen, Offline-Backups, Notfallpläne etc. – werden oft nicht ernst genug genommen. Christine Muhr, ver.di-Gewerkschaftssekretärin für IT, fordert: Cybersecurity muss in Unternehmen mit Priorität angegangen werden. Es braucht insbesondere Investitionen in mehr und gut ausgebildetes Personal. Und es braucht Sensibilisierungs- und Schulungsprogramme für alle Mitarbeiter*innen. Arbeitgeber und Arbeitnehmervertretungen haben gleichermaßen eine ernstzunehmende gesamtgesellschaftliche Verantwortung.