Redet oder schreibt man über Cyberkriminalität, verbindet man dies häufig mit dem stereotypischen Bild des einsamen Hackers, der schwarze Kapuzenpullover trägt und in einem dunklen Raum im Alleingang und mit großem Idealismus seine Taten verübt. Dieser Artikel soll aufzeigen, woher dieser Stereotyp kommt, wie moderne Cybergangs tatsächlich arbeiten und intern kommunizieren und warum das verschobene Bild zu einer Fehleinschätzung der Gefahr durch diese Gruppierungen führt.
Der Inhalt im Überblick
Der einsame Hacker im Kapuzenpullover
Schaut man in der Medienlandschaft auf die Berichterstattung über aktuelle Fälle von Cyberkriminalität, wird man in vielen Fällen auf ein Symbolbild stoßen, das eine Person mit Kapuzenpullover in dunkler Szenerie vor einer Tastatur zeigt. Auch Artikel auf Dr. Datenschutz bedienen sich häufiger dieses Stereotyps. Das hat auch einen guten Grund, denn dieses Bild schafft es auf den ersten Blick zu verdeutlichen, dass es um kriminelle Handlungen durch undurchsichtige Akteure geht. Dadurch, dass in der Popkultur dieses Bild immer wieder reproduziert wurde und wird, ist jedem durch die Wiedergabe dieses Bildes direkt der Kontext klar, den dieses Bild herstellen soll. Und sicherlich gibt es noch Einzeltäter die, wie bei der Veröffentlichung privater Daten deutscher Politiker, für ordentlich Schlagzeilen sorgen. Doch diesen Einzelfällen stehen grob geschätzt 4000 Cyberangriffen pro Tag in Deutschland gegenüber. Da wird schnell klar, dass dieses Bild nicht mehr der Alltagsrealität entspricht. Daher stellt sich unweigerlich die Frage, wie arbeiten viele Hacker in der Praxis denn nun tatsächlich?
Moderne Hacker arbeiten in Cybergangs
Das Hacker auch gesellig sein können, zumindest wenn es um ihre Leidenschaft geht, ist nicht neu. Im vergangen Jahrzehnt geschah dies meist in Kollektiven und losen Gruppierungen wie Anonymous oder LulzSec, die (wenn überhaupt) nicht viel mehr als ein gemeinsames Ziel einte. Doch dadurch, dass die IT für Unternehmen immer wichtiger wurde und es somit z.B. durch Ransomware-Angriffe immer mehr Geld zu holen gab, sprossen immer mehr Gruppen aus dem Boden, die sich zunehmend professionalisierten. Selbstverständlich haben diese moderne Cybergangs ein Interesse daran, dass keine Informationen über die internen Strukturen und interne Kommunikation veröffentlicht werden. Dennoch gab es in der Vergangenheit einige Veröffentlichungen von Insidern, die viel über die interne Organisation dieser Gruppierungen verraten.
So wurde im Frühjahr letzten Jahres ein großer Teil der internen Kommunikation der Ransomware-Gang „Conti“ durch einen Insider veröffentlicht. Dieser hatte sich an der öffentlichen Bekennung der Gruppe zu Russland im Zuge des russischen Angriffskriegs gestört und daraufhin die Nachrichtenverläufe publiziert. Hieraus geht sehr detailliert hervor, wie diese Gruppierung strukturiert ist und wie weit die Professionalisierung bereits vorangeschritten ist. Im Folgenden werden einige Bereiche beleuchtet, die die Ähnlichkeit der Organisation zu der eines Startup verdeutlichen und aus den übersetzten Chatverläufen extrahiert worden sind.
Arbeitsteilung
Jedes Conti-Mitglied gehört einem festen Team an. Hierunter sind gewöhnliche Arbeitsbereiche, die man auch in den meisten legitimen Tech-Unternehmen finden würde, wie Personalverwaltung, Softwareentwicklung, Systemadministration und Qualitätssicherung. Nur wird hier eben nicht etwa eine CMS-Lösung für mittelständische Unternehmen entwickelt und auf Fehlerfreiheit getestet, sondern eine Ransomware, die dann auf Nicht-Erkennung durch gängige Virenschutzlösungen getestet wird. Hierfür gibt es eine weitere Abteilung, die „Crypter“, die den Quelltext der entwickelten Malware so lange verändern und unkenntlich machen, bis aus der Test-Abteilung Grünes Licht in Bezug auf die Erkennungsraten gegeben wird. Schließlich braucht es aber auch ein Team von Hackern, die sich um den Zugriff auf fremde Systeme kümmern, auf denen die fertiggestellte Ransomware dann ausgerollt werden kann und ein Team von Verhandlungsführern, die nach der Kontaktaufnahme der Opfer das zu zahlende Lösegeld verhandeln.
Personalverwaltung
Alle genannten Arbeitsbereiche benötigen ein hohes Know-How auf dem jeweiligen Fachgebiet. Hierfür ist es erforderlich neues Personal mit den passenden Kenntnissen ausfindig zu machen und diese durch einen sorgfältig geplanten Einstellungsprozess auszuwählen. Doch als illegale Ransomware-Gang würde das Schalten einer Stellenanzeige zu ungewollter Öffentlichkeit führen. Stattdessen werden Datensätze über Arbeitssuchende beschafft und passende Kandidaten direkt kontaktiert und anschließend mit Einstellungstests auf Eignung geprüft.
Vergütung
Auch Mitglieder einer kriminellen Cybergang wollen natürlich bezahlt werden. Daher gibt es bei Conti für viele Stellen ein festes Gehalt mit der Möglichkeit zum Erhalt weiterer Boni für besonderer Erfolge. Mitglieder des Verhandlungsteams erhalten stattdessen eine prozentuale Provision auf das von ihnen verhandelte und schließlich durch die Opfer bezahlte Lösegeld. Eine Möglichkeit die Vergütung noch etwas aufzubessern, besteht in den regelmäßig vergebenen Boni für den Titel „Mitarbeiter des Monats“, der für besondere Erfolge vergeben wird.
Arbeitszeiten / Urlaub
Die Einhaltung der Arbeitszeiten wird regelmäßig kontrolliert und bei wiederholter unentschuldigter Abwesenheit wird ein Teil des Gehalts einbehalten. Diese Strafabzüge werden dann zusätzlich an den nächsten „Mitarbeiter des Monats“ ausgezahlt. Urlaub gibt es gerade für das Team der Hacker jedoch nur selten, gerade das Arbeiten an Feiertagen ist keine Ausnahme. Dahinter steckt auch ein gewisses Kalkül, denn gerade über die Feiertage sind die meisten IT-Abteilungen natürlich nicht besetzt und ein Angriff bleibt dadurch leichter unentdeckt.
Die oben genannten Aspekte sind nur einige Beispiele aus einer Vielzahl von Anzeichen für das hohes Maß an Professionalisierung, die sich dieser und anderer Veröffentlichungen entnehmen lassen. Nun stellt sich jedoch abschließend die Frage, warum die Diskrepanz zwischen Realität und öffentlichem Bild ein Problem darstellt.
Die Gefahr des verschobenen Bilds von Cyberkriminalität
Dass das öffentliche Bild von Cyberkriminalität so unterschiedlich zu den Strukturen in der Realität ist, führt insbesondere dazu, dass die Gefahr durch diese Gruppierungen und ihre Möglichkeiten schnell unterschätzt werden. Genau wie in einem regulären Unternehmen, hat eine strukturierte Gruppierung mit gut geplanter Arbeitsteilung und Führung gleich eine deutlich höhere Leistungskraft, als es lose organisierte Einzelpersonen haben könnten. Auch wird dadurch die Bedeutung des gewinnorientierten Handelns dieser Gruppierungen unterschätzt und der Anteil politisch motivierter Angriffe überschätzt, sodass der fälschliche Eindruck entstehen kann, man sei als unpolitischer Mittelständler ohne Bezug zu kritischer Infrastruktur kein attraktives Ziel eines Angriffs.
Letztlich entscheidet häufig eine rationale Kosten-Nutzen-Analyse darüber, ob ein Unternehmen angegriffen wird oder nicht. Und sollte dabei beispielsweise ein Dienst in Benutzung sein, für den aktuell eine kritische Sicherheitslücke besteht (wie erst kürzlich bei MOVEit) dann gehen die Kosten eines Angriffs gegen Null und die Entscheidung ist schnell getroffen. Aus diesem Grund sollte jeder sich bewusst machen, dass Cyberkriminalität schon lange nicht mehr nur aus schlecht geplanten Aktionen aus Jugendzimmern besteht, sondern immer häufiger sehr professional organisiert und sorgfältig geplant ist.
