Im Oktober und November 2024 widmen wir uns intensiv dem Thema Cybersicherheit – einem Bereich, der oft als trocken und komplex wahrgenommen wird. Um die wesentlichen Inhalte zugänglicher zu machen, haben wir eine kleine Story entwickelt, die sich in insgesamt fünf Teilen mit den Herausforderungen von Cyberbedrohungen beschäftigt. Unsere Geschichte, die wir als Fortsetzungsreihe an ausgewählten Tagen bis Dezember auf dieser Seite veröffentlichen, folgt einem Unternehmen, das unvorbereitet von einem Ransomware-Angriff getroffen wird, und verdeutlicht, wie wichtig IT-Sicherheit in unserer zunehmend digitalisierten Welt ist.
In den Weiten der digitalen Welt lebt hallo123 – ein Passwort, das sich seiner Sache sicher ist. Es ist eine einfache Kombination aus Buchstaben und Zahlen, aber gerade das macht es so selbstbewusst. „Ich bin nahezu perfekt“, denkt hallo123. „Leicht zu merken und stark genug, um die Daten meiner Nutzerinnen und Nutzer zu schützen.“ Es ist stolz darauf, in zahllosen Konten deutschlandweit eingesetzt zu werden, und fühlt sich in seiner Rolle als Beschützer unantastbar.
Während komplizierte Passwörter mit Sonderzeichen und langen Zahlenreihen über ihren Schutz prahlen, bleibt hallo123 entspannt. „Warum so kompliziert?“, fragt es sich. „Ich mache meinen Job. Die Menschen vertrauen mir, sonst würden sie mich nicht so oft verwenden.“ In den vielen Ecken des Cyberspace hat es sich einen Namen gemacht – es ist nicht das stärkste, aber auch nicht das schwächste Passwort. hallo123 fühlt sich sicher, bewacht von Firewalls und Sicherheitsprotokollen, die es umgeben.
Doch in dieser digitalen Welt lauern Gefahren, die hallo123 nicht wahrnimmt. Cyberkriminelle arbeiten längst an Methoden, um Passwörter wie es ins Visier zu nehmen. Sie brauchen keine rohen Gewaltmethoden mehr, sondern setzen intelligente Algorithmen ein, die beliebte Passwörter in Sekunden erraten können. Doch hallo123 wiegt sich weiterhin in trügerischer Sicherheit. „Es wird mir schon nichts passieren“, sagt es sich immer wieder.
Aber die Bedrohung wächst. Berichte über gezielte Angriffe und Datenlecks häufen sich. hallo123 beginnt langsam zu spüren, dass die digitale Welt nicht mehr so ruhig und sicher ist wie früher. Erste Anzeichen von Unsicherheit machen sich breit. Es fragt sich, ob seine Einfachheit wirklich ausreicht, um den modernen Cyberangriffen standzuhalten. Noch glaubt hallo123, dass seine Zeit nicht vorbei ist, doch die digitalen Ströme um es herum verändern sich schneller, als es denkt.
Und dann kommt der Tag, an dem es passiert ...!
Der Arbeitstag beginnt wie gewohnt, doch plötzlich können sich die Mitarbeitenden nicht mehr einloggen. Die Website ist offline, die Systeme eingefroren. Selbst die geschäftlichen Telefone funktionieren nicht mehr. Panik breitet sich aus. Niemand weiß, was passiert ist, und der komplette Betrieb steht still. Im Hintergrund spürt das Passwort hallo123, dass etwas Furchtbares geschehen ist. Es war die Schwachstelle, die den Angreifern den Weg geebnet hat. Während es sich noch immer seiner Einfachheit rühmt, haben die Hacker längst zugeschlagen.
Dann kommt der Anruf. Eine verzerrte Stimme fordert Lösegeld in Bitcoins. Der IT-Leiter versteht sofort, dass das Unternehmen Opfer eines Ransomware-Angriffs geworden ist. Die Hacker haben die Server und Backups verschlüsselt und drohen, alle Daten zu vernichten, wenn das Lösegeld nicht binnen 48 Stunden gezahlt wird. Die Geschäftsführung handelt schnell und schaltet das LKA ein. Gleichzeitig wird eine Cybersecurity-Agentur hinzugezogen, um das Ausmaß des Schadens zu analysieren. Schon bald wird klar: Die Hacker hatten durch eine Phishing-Email Zugriff auf die Anmeldedaten erhalten. Ein eingeschleuster Trojaner hat den Weg in die Systeme geebnet und ihnen die Kontrolle über die Administratorenkonten verschafft. Das Passwort hallo123 war der Schlüssel.
In der Analyse der Cybersecurity-Experten zeigt sich, dass auch die 3-2-1-Backup-Strategie des Unternehmens nicht ausgereicht hat. Die Hacker hatten nicht nur die Hauptsysteme, sondern auch die Backups verschlüsselt. Es bleibt kaum noch Spielraum. Nun steht die Geschäftsführung vor einer folgenschweren Entscheidung: Das Lösegeld zahlen oder darauf hoffen, dass die Experten die Verschlüsselung umgehen können? Die Zeit läuft. Noch 24 Stunden bis zum Ablauf des Ultimatums – und jede Minute bringt das Unternehmen näher an den Abgrund.
Doch was niemand weiß: Der Angriff ist nur der Anfang. Die Hacker haben bereits weitere Schritte vorbereitet ...
Die Zeit läuft unerbittlich, und die Geschäftsführung ist hin- und hergerissen. Das Unternehmen ist weiterhin lahmgelegt, und der Druck wächst. Noch 24 Stunden bis zum Ablauf des Ultimatums der Hacker. Die Cybersecurity-Agentur arbeitet rund um die Uhr, um das Unternehmen zu retten, aber jeder im Raum weiß, dass die Uhr tickt.
Die Ermittler des LKA und die Cybersecurity-Experten haben mittlerweile eine klare Vorstellung davon, wie der Angriff ablief. Über eine Phishing-Email wurden die Zugangsdaten eines Mitarbeitenden kompromittiert, und ein Trojaner infizierte das System. Doch es war mehr als das. Das Unternehmen hatte einfache Passwortsysteme verwendet, ohne zusätzliche Schutzmechanismen wie Multifaktorenauthentifizierung. Die Angreifer konnten sich mit den gestohlenen Daten problemlos in die Administratorenkonten einloggen.
„Multifaktorenauthentifizierung hätte diesen Angriff verhindern können“, sagt eine der IT-Spezialistinnen ernst. Mit einer zusätzlichen Verifizierungsebene – sei es per Handy-App oder Token – wäre der Zugang des Hacker-Unternehmens (ja richtig: Es handelt sich um ein ganzes Unternehmen!) blockiert worden. Doch jetzt ist es zu spät.
Auch die automatischen Virenscanner, die auf den Systemen des Unternehmens installiert waren, hatten versagt. Der Trojaner war geschickt getarnt, schlich sich unter den Radar der Sicherheitsprogramme und blieb lange genug unentdeckt, um seinen Schaden anzurichten. Die Expertinnen und Experten diskutieren hitzig über die Maßnahmen, die nach diesem Angriff umgesetzt werden müssen, doch im Moment zählt nur eine Frage: Wie kann das Unternehmen seine Daten zurückbekommen, ohne das Lösegeld zu zahlen? Und ohne, dass sensible Daten an die Öffentlichkeit gelangen? Auf einer Leaked Data Website im Darknet wurde schon das gehackte Unternehmen genannt. Eine übliche Methode der Kriminellen, auf diese Weise Druck auszuüben und voranzukündigen, dass bald schon Daten “erhältlich” sind.
Während die Diskussionen weitergehen, zieht ein IT-Sicherheitsberater ein weiteres Problem aus den Logfiles: Kerberos-Passwörter – eine sichere Methode zur Authentifizierung, die in vielen Unternehmen verwendet wird, um Zugriffe zu verwalten. Doch auch hier hatte das Unternehmen veraltete Sicherheitsprotokolle. Die Hacker hatten nach dem Einbruch sogar Teile des internen Kerberos-Systems kompromittiert, was es ihnen erleichterte, sich weiter im Netzwerk zu bewegen. Der Angriff war umfassender als zunächst gedacht.
„Wir hätten das verhindern müssen“, murmelt einer der Administratoren. „Wir haben uns zu sehr auf einfache Passwörter wie hallo123 verlassen.“
Die Expert*innen sind sich einig und blicken ernst auf die Geschäftsleitung: Multifaktorenauthentifizierung, regelmäßige Updates der Virenscanner, und stärkere Passwörter wie Kerberos-basierte Lösungen sind unverzichtbar, um sich in Zukunft gegen solche Angriffe zu wappnen. Doch all diese Erkenntnisse helfen in diesem Moment wenig.
Noch immer sitzt die Geschäftsführung vor der drängenden Frage: Zahlen oder nicht zahlen? Die Antwort muss bald kommen – die verbleibenden Stunden rinnen wie Sand durch die Finger, und die Bedrohung wächst weiter.
Aber dann, ganz plötzlich, schlägt das LKA Alarm: Sie haben eine Spur gefunden ...
Das LKA-Team versammelt sich im abgedunkelten Konferenzraum. Auf der Leinwand flimmern Videos, die angeblich die Geschäftsführung des gehackten Unternehmens zeigen. Die Chefin spricht darin über die „katastrophale Situation“ und erwägt, das Lösegeld zu zahlen, während der IT-Leiter die Sicherheitslücken auflistet. Doch beide beteuern, nie eine solche Aufnahme gemacht zu haben.
„Das ist nicht echt“, sagt die Spezialistin für digitale Medienmanipulation. „Das sind Deepfakes.“ Sie erklärt, wie die Hacker mithilfe von KI und gestohlenem Videomaterial täuschend echte Fälschungen erstellt haben. Die Videos wurden gezielt verbreitet, um das Vertrauen in die Geschäftsführung zu erschüttern und Druck zur Lösegeldzahlung aufzubauen.
Während das Ermittler-Team die Spuren durchleuchtet, stößt es auf ein erstaunlich simples Detail: das Passwort „hallo456“, genutzt von den Hackern zur Absicherung ihrer eigenen Kanäle. Diese Nachlässigkeit erlaubt es dem LKA-Team, das Netzwerk der Angreifer zu entschlüsseln und die Herkunft der Deepfakes nachzuverfolgen. Aus einem scheinbar unbesiegbaren Erpressungsversuch wird ein klarer Beweis für die Überheblichkeit der Hacker.
[Fortsetzung folgt]
Der Herbst 2024 steht bei bwcon ganz im Zeichen von Cybersecurity. Von Anfang Oktober bis Ende November bieten wir diverse Veranstaltungen an, zu denen wir Sie herzlich einladen. Erfahren Sie, welche Sicherheitslücken es gibt, wie Hacker*innen diese ausnutzen und wie Sie im Notfall eines Cyberangriffs reagieren sollten.
Weitere Informationen zum Forum IT-Sicherheit in der Schwäbischen Zeitung