Internetkriminalität

Der Klick in die Erpressungsfalle: Wie «WannaCry» die Cyber-Welt verändert

Wenn Hacker Lösegelder für die Entschlüsselung der Daten verlangen, ist die Bezahlung eigentlich tabu. Dennoch raten Ökonomen in gewissen Fällen dazu. In der Schweiz liessen sich bereits zwei Spitäler erpressen. (Symbolbild)

Wenn Hacker Lösegelder für die Entschlüsselung der Daten verlangen, ist die Bezahlung eigentlich tabu. Dennoch raten Ökonomen in gewissen Fällen dazu. In der Schweiz liessen sich bereits zwei Spitäler erpressen. (Symbolbild)

Der Computer-Virus «WannaCry», der weltweit Tausende Konzerne und Spitäler lahmlegte, löst ein Wettrüsten aus. Auch Versicherungen entdecken den Cyber-Markt. In gewissen Fällen übernehmen sie sogar Lösegelder.

Eine Woche nach dem Ausbruch der grössten globalen Cyber-Attacke kann die Schweiz aufatmen. Der Virus «Wanna Cry» hat nur 200 IP-Adressen infiziert. In einigen Fällen waren die Auswirkungen aber erheblich. Ein Beispiel: Betroffen war ein Schweizer IT-Dienstleister, der für die Finanzbranche tätig ist.

Auf den Bildschirmen erschien eine Erpressungsforderung von 400 Dollar. Dank eines Back-ups konnten IT-Spezialisten die Daten wiederherstellen. Obwohl sie Nachtarbeit leisteten, konnten sie einen Betriebsunterbruch jedoch nicht vermeiden.

Die Kosten des Ausfalls und das Krisenmanagement übernimmt die Zürich-Versicherung, da die betroffene Firma eine Cyber-Risk-Versicherung abgeschlossen hat. Dieses Geschäft floriert. Christian La Fontaine, Cyber-Experte der Versicherung, sagt: «Wir haben diese Woche rund 25 Prozent mehr Anfragen als in der Vorwoche erhalten. Mehrere Spitäler meldeten sich für eine Beratung.»

Die Universität St. Gallen schätzte den Schweizer Markt der Cyber-Versicherungen 2015 auf fünf Millionen Franken. Heute geht sie davon aus, dass Firmen in der Schweiz bis zu zwanzig Millionen jährlich für Cyber-Policen ausgeben. Es ist ein Geschäftsmodell aus den USA, wo Kunden häufiger wegen IT-Ausfällen klagen und deshalb rund 1,5 Milliarden US-Dollar jährlich für solche Versicherungen ausgegeben werden.

Leben retten mit Lösegeldern

Zu den Leistungen einer Cyber-Versicherung gehört der Schutz in Erpressungsfällen. Wenn möglich versuchen die Versicherungen, den Schaden gering zu halten, ohne Lösegelder zu zahlen. In gewissen Fällen übernehmen sie aber auch Überweisungen an Erpresser. In der Schweiz bieten AIG, Allianz, Chubb und Zürich derartige Policen an.

Die Versicherer reden nicht gerne über ihre möglichen Deals mit Erpressern. La Fontaine von der Zürich-Versicherung betont: «Damit finanziert man Kriminelle. Wir raten deshalb davon ab.» Doch er räumt ein, dass auch seine Versicherung unter Umständen Lösegelder übernehmen würde: «Es könnten Fälle auftreten, in denen eine Interessensabwägung eine Zahlung nötig macht.»

Als Beispiel nennt er eine Cyber-Attacke auf ein Spital, das lebenswichtige Operationen durchführe: «Wenn man davon ausgehen kann, dass eine Zahlung tatsächlich zu einer schnellen Entschlüsselung der Daten führt, kann eine Bezahlung die beste Lösung sein.»

Bei der Abwägung, ob der Spuk nach der Überweisung vorbei ist, sind folgende Überlegungen ausschlaggebend. Bei einem gezielten Angriff auf eine Firma muss befürchtet werden, dass danach eine noch höhere Forderung kommt. Bei einem flächendeckenden Angriff auf mehrere Firmen ist diese Gefahr hingegen geringer.

Zudem ist die Professionalität der Hacker entscheidend. Einige sind gar nicht in der Lage, die Schadsoftware zu deaktivieren. Andere agieren professionell und bieten sogar eine Helpline an, um ihre Opfer bei der Bezahlung mit der Online-Währung Bitcoin zu unterstützen.

Bisher ist es in der Schweiz zu mindestens zwei Erpressungszahlungen gekommen, wie die «Nordwestschweiz» berichtete. Urs Stoffel vom Ärzteverband FMH bestätigt dies und sagt: «Zwei Schweizer Spitäler haben bei früheren Angriffen Lösegelder bezahlt und danach wieder Zugriff auf ihre Daten erhalten.» Mit der Cyber-Attacke von dieser Woche hatten die Hacker bisher 50 Bitcoins im Wert von 90'000 Franken verdient.

Palo Stacho, IT-Spezialist und Mitgründer der Schweizer Firma Lucy, sagt: «‹Wanna Cry› zeigt, dass Cyberkriminalität ein industrielles Business geworden ist.» Das Bitcoin-System ermögliche eine Preisbildung für kriminelle Aktivitäten. Stacho verdient sein Geld mit der Cyber-Prävention. «Der Mensch ist meist das schwächste Glied in der Kette», sagt er.

Für seine Kunden simuliert er Cyber-Attacken wie «Wanna Cry». Die Mitarbeiter werden ohne ihr Wissen getestet, indem ihnen präparierte E-Mails geschickt werden. In den meisten Fällen gelangt Schadsoftware über sogenannte Phishing-Mails in die Firmennetze. Die Empfänger werden dazu verleitet, auf ein Attachement zu klicken, das den Unheilsprozess auslöst. Das Lucy-System analysiert, wie die Mitarbeiter auf die fingierten Attacken reagieren.

Die Folgen von «Wanna Cry» werden noch lange zu spüren sein, prophezeit IT-Spezialist Stacho. Nach solchen Angriffen ertöne meist der Ruf nach Regulierung. Mehr Vorschriften könnten aber die positiven Effekte der Digitalisierung zunichtemachen. Umstritten ist etwa, ob eine Meldepflicht von Cyber-Attacken eingeführt werden soll.

Deals mit Erpressern sind legal

Ob die Zahlung von Lösegeldern erlaubt bleiben soll, könnte ebenfalls zu einem Politikum werden. In Italien sind Überweisungen an Erpresser verboten – eine Massnahme im Kampf gegen die Mafia. Die Regel gilt dort auch für Cyber-Kriminelle. Max Klaus von der nationalen Melde- und Analysestelle Informationssicherung Melani hat kein Verständnis für Deals mit Erpressern: «Die Angreifer werden diese finanziellen Mittel in noch leistungsfähigere Infrastruktur für Folgeangriffe investieren.»

Versicherungsexperten im Bundeshaus äussern sich kritisch, wollen ihre Branche aber nicht einschränken. CVP-Ständerat Peter Hegglin sagt: «Ich habe Mühe mit dem Gedanken, Prämien zu bezahlen, um Erpresser zu finanzieren. Das widerspricht meinem Rechtsverständnis.»

Bedenken hat auch der BDP-Nationalrat Martin Landolt: «Persönlich finde ich es weder vernünftig noch sympathisch.» Beide wollen die Versicherung von Cyber-Erpressungen aber nicht regulieren. Landolt: «Wenn sich Angebot und Nachfrage in einem legalen Rahmen treffen, soll ein Markt nicht politisch verhindert werden.»

Meistgesehen

Artboard 1