Die Ökonomie zwischen Angreifer und Verteidigung
Bildquelle: Banner Adobe Express
Die ist der zweite Artikel aus der zehnteiligen Serie »Digitale Sicherheit für technologieorientierte KMU«. Im vorherigen Artikel wurde beleuchtet welche digitalen Kriminellen dein kleines oder mittelständisches Unternehmen angreifen möchten.
Die Sicht des Angreifers
Grundlage für die folgenden Darstellung ist die Anfang 2022 aktive Cyber-Gang Conti. Im März 2022 hatte diese Gang mehr als 65.000 Bitcoins empfangen. Was einem Gegenwert von 2,7 Milliarden USD entsprach.
Aus der Sichtweise eines verantwortlichen von Conti sind auch dessen Ressourcen, wie überall in der Wirtschaftswelt begrenzt. In diesem Artikel soll der Deckname für den Verantwortlichen Mr. Spider sein.
Das heißt Zeit und Geld sind auch für Mr. Spider knapp. Um nun zu weiterem Umsatz zu kommen, beginnt Mr. Spider wie jedes Wirtschaftsunternehmen mit der Markterkundung. Es werden Akquiselisten erstellt. Mit dieser Grundlage wird gefiltert welche Ziele daraus in Frage kommen und die Abschlussquote am höchsten ist. Mr. Spider verwendet Kriterien wie Eigenkapitalquote, Umsatz und so weiter. Wie Conti das wirklich macht, wurde in einigen russischsprachige „Bedienungsanleitungen“ von unzufriedenen Partnern der Gang veröffentlicht (heise.de, abgerufen am 02.09.2022). Mr. Spider folgt der dortigen Anweisung und tippt "mycorporation.com" "revenue" im Browser um den Umsatz der verschiedenen Opfer herauszufinden.
Nun beginnt Mr. Spider den Kontakt zu den rentabelsten Opfern anzugehen. Für eine erste Orientierung investiert Mr. Spider eine kleine Menge seines Budgets. Um im nächsten Schritt auszusortieren und nur mit den rentabelsten Opfern weiterzumachen.
Erst jetzt weist Mr. Spider sein Team an mit kostenintensiven Maßnahmen zu starten. Es werden dauerhafte Kommunikationskanäle zu den Opfern aufgebaut. Die Personen mit den digitalen Generalschlüsseln werden ausfindig gemacht. Hat Mr. Spider den digitalen Generalschlüssel entwendet geht es an das Eingemachte. Sollte das nicht möglich sein, stellt Mr. Spider die Tätigkeit bei diesen Zielen ein und lässt sie vorerst mal ruhen.
Bei den verbliebenen Opfern werden Zeitbomben platziert. Sobald Mr. Spider genügend Bomben platziert hat, werden diese gezündet. Conti benötigt zum Verschlüsseln von 100 Gigabyte eines durchschnittlichen Systems sieben Minuten. Der Konkurrent LOCKBIT schafft das sogar in vier Minuten (splunk.de, aberufen am 02.09.2022). Zu guter Letzt lässt Mr. Spider einen Erpresserbrief liegen.
Das Team von Mr. Spider hat die notwendigen Daten bereits vorher abgezogen. Umsatz, Gewinne, Kontostände sind bekannt. Daraus berechnet Mr. Spider nun einen »realistischen Preis«. In der Regel legt er irgendetwas zwischen ein und fünf Prozent des letzten Jahresumsatzes fest. Dabei besteht der Preis aus zwei Teilen. Einen Schlüssel um die Verschlüsselung der Daten aufzuheben. Und einer Gebühr um abgezogene oder kopierte Daten unter seiner Gewalt zu löschen, damit diese nicht im Internet veröffentlicht werden.
Die Sicht des Verteidigers
Falls man als Opfer tatsächlich überlegt zu zahlen, lohnt es sich tatsächlich vorher nach Referenzen bei den Erpressern zu fragen.
Um es aber gar nicht so weit kommen zu lassen muss der Verteidiger in eine effektive Verteidigung und Widerstandsfähigkeit beziehungsweise Resilienz investieren. Nur dieser Hebel verschiebt den Wendepunkt in der Ökonomie sukzessive vom Angreifer zum Verteidiger. Die aufgebrachte Zeit, Aufmerksamkeit und das Verteidigungs-Budget entscheiden über den ROI des Angreifers. Dieses Budget sollte in Relation zu den Umsätzen, Gewinnen und Kontoständen des Verteidigers stehen.
4 von 10 Unternehmen verwenden 10 bis 20% des IT-Budgets für Sicherheit (Bitkom Research 2023). Ein Betroffener wie Marabu Farben verwendet seit dem Angriff ein-drittel des IT-Budgets für digitale Sicherheit (computerwoche.de, abgerufen am 02.09.2022).
Angreifer sind nicht perfekt und nicht alle Angriffe funktionieren. Deshalb ist es wichtig, dass die Verteidigung ständig verbessert wird um die Fehler-Rate von Angriffen zu erhöhen. Das erhöht wiederrum die Kosten für die Angreifer.
Weitere Beiträge aus dieser Artikelserie: