"Wir haben überwiesen" - nach tagelangen Verhandlungen und Androhungen eines Daten-Leaks ist es diese Chat-Nachricht, die dokumentiert, wie es Hackern gelungen ist, einen deutschen Mittelständler erfolgreich zu erpressen. 1,27 Millionen US-Dollar hat der Kupferhersteller KME mit Sitz in Osnabrück überwiesen, um wieder Zugriff auf die eigenen Daten zu bekommen, die Hacker zuvor verschlüsseln konnten.

Das Geschäftsmodell der Hacker nennen IT-Sicherheitsexperten "Ransomware". Es handelt sich um Software, die sämtliche Daten auf dem Rechner korrumpiert. In den vergangenen zwei Jahren sind allein in Deutschland ein Dutzend solcher Vorfälle bekannt geworden. Der Digitalverband Bitkom spricht von einem Schaden in Höhe von insgesamt 10,5 Milliarden Euro in den Jahren 2018 und 2019.

BKA: Ransomware "größte Bedrohung" für deutsche Wirtschaft

Das Bundeskriminalamt (BKA) bezeichnet Ransomware gar als "größte Bedrohung" für Wirtschaftsunternehmen. Die Hacker hätten es insbesondere auf größere Konzerne abgesehen, erklärt Carsten Meywirth, Abteilungsleiter für Cybercrime:

"Die Täter schauen, dass sie sich große Fische an Land ziehen, wo sie sehr hohe Lösegeldforderungen realisieren können."

Aus dem englischsprachigen Chat, der BR Recherche und dem ARD-Wirtschaftsmagazin Plusminus in Gänze vorliegt, ergibt sich zum ersten Mal, wie genau ein deutscher Konzern von kriminellen Hackern erpresst wurde. Auf Anfrage äußerte sich der Konzern nicht. Zuvor hatten die Nachrichtenagentur Reuters und ein französisches Fachmedium über Verhandlungen mit digitalen Erpressern berichtet.

Hacker: "Wir wollen nur profitieren"

Im Fall von KME war die Produktion in Teilen eingeschränkt, wie das Unternehmen im August mitteilte. Polizei und Staatsanwaltschaft wurden eingeschaltet, außerdem ein Verhandlungsführer, der mit den Hackern Kontakt aufnehmen sollte. Diese legten eine Text-Datei mit dem Namen "Lies mich" auf den verschlüsselten Rechnern ab. Sie enthielt detaillierte Anweisungen und die Anmerkung: "Das ist für uns nur ein Geschäft. Wir haben absolut kein Interesse an euch, wir wollen nur profitieren." Beigefügt war ein Link in das Darknet, also in jenen Teil des Internets, der mit gängigen Web-Browsern nicht zu erreichen ist. Dort warteten die Hacker.

Zu Beginn wollten sie 7,5 Millionen US-Dollar. "Es ist unmöglich für meinen Klienten, euch 7,5 Millionen Dollar zu zahlen", begann der Verhandlungsführer, frei übersetzt, das Gespräch und führte aus, dass die Corona-Pandemie auch KME hart getroffen habe. Die Hacker zeigten sich unbeeindruckt: "Wir haben jeden Tag mit vielen Firmen Deals, Covid 19 ist bereits eingepreist." Sie fügten eine Unternehmensbilanz und die Versicherungspolice des Konzerns hinzu, mit den Worten: "Falls ihr das nicht zur Hand haben solltet".

Es war offenkundig, dass sie sich in den Netzwerken des Kupferherstellers umsehen konnten, bevor sie die Höhe des Lösegelds festlegten. Ein solches Vorgehen gehöre zur üblichen Strategie, wie Kimberly Goody von der IT-Sicherheitsfirma Fireeye erklärt: "Wenn es den Hackern gelingt, zeitgleich 20 Firmen zu infizieren, aber sie nicht die Kapazitäten haben, alle gleichzeitig zu erpressen, müssen sie Prioritäten setzen. Da kann es helfen, den jährlichen Umsatz zu kennen." Je höher der Umsatz, desto höher die Forderung.

Harte Verhandlungen

Tagelang wurde an einem Deal gearbeitet. Der Verhandlungsführer versuchte, an das Gewissen der Hacker zu appellieren: "Sie haben das falsche Opfer ausgewählt, unsere Versicherung übernimmt kein Lösegeld. Deshalb sind maximal 750.000 drin, und das kostet schon Jobs, aber das ist euch ja egal." Die Hacker drohten im Gegenzug damit, entwendete Daten zu leaken. Erst als sie merkten, dass sie tatsächlich Geld sehen würden, reduzierten sie den Preis. Am Ende einigte man sich auf 1,27 Millionen Dollar, zu zahlen in der Digitalwährung Monero.

Bevor das Geld verschickt wurde, äußerte der Verhandlungsführer Bedenken: "Bitte bestätigt uns, dass sämtliche Systeme, die ihr verschlüsselt habt, wieder funktionieren werden." Die Hacker wollten nicht länger warten, doch für das Unternehmen stellte sich die Frage: Was passiert, wenn sie zahlen, die Hacker aber ihr Versprechen brechen würden?

Cybercrime-Experte Meywirth vom BKA warnt: "Es besteht keine Sicherheit, dass nach einer Zahlung entsprechende Dekryptoren von den Tätern versandt werden." Mit Dekryptoren lassen sich die Daten wieder entschlüsseln. Meywirth könne verstehen, dass Unternehmen abwägen müssen "zwischen dem Schaden, der entstanden ist, und der Lösegeldforderung". Doch sein Rat sei klar: "Wir empfehlen, in jedem Fall nicht zu zahlen. Das würde noch mehr Anreize für Tatwiederholungen schaffen, möglicherweise auch im gleichen Unternehmen."

Bezahlt werde "in aller Regel dann, wenn gar keine Daten mehr da sind", sagt Christoph Fischer, Geschäftsführer der IT-Sicherheitsfirma BFK edv-consulting. Dieses Jahr führte Fischer knapp 20 Verhandlungen und musste in sechs Fällen Geld für Unternehmen überweisen, insgesamt sechs Millionen Euro. Über die Hacker sagt er: "Denen ist wichtig, dass ihr Geschäftsmodell nicht kaputt geht. Das ist so einträglich, dass sie alles machen, damit ihre Opfer ihre Daten wiedererhalten."

Hacker hinterlegen Steckbrief

Die Hacker im KME-Fall hinterlegten eine Art Steckbrief, direkt neben dem Chatfenster. Dort heißt es: "Vermutlich kennt ihr uns schon. In vielen Artikeln werden wir 'Sodinokibi' genannt." Die Hacker geben an, besonders professionell zu arbeiten, Anfängerfehler würden nicht passieren. "Sie sollten froh sein, von uns gehackt worden zu sein und nicht von unseren Konkurrenten", steht dort.

Hinter Sodinokibi steckt wohl eine Gruppe, die ihre Software lizensiert, erklärt Kimberley Goody von Fireeye. "In Untergrundforen wird die Ransomware beworben und Akteure gesucht, die sie in Unternehmensnetze einschleusen können." Die Sodinokibi-Entwickler behalten demnach 30 Prozent der Lösegeldzahlungen ein, der Rest geht an die Hacker. Es ist unklar, wer hinter der Gruppe steckt.

Am Ende konnte KME seine Daten entschlüsseln. Zum Abschluss erklärten die Hacker, wie es ihnen überhaupt gelungen war, in die Netzwerke des Konzerns einzudringen. Die Antwort: Die Hacker hatten sich die Login-Daten für den Zugang ins Netz erkauft und anschließend das Passwort eines Administrators erraten. Anschließend gaben sie Tipps, wie der Konzern sich besser schützen könne. Damit andere Erpresser draußen bleiben.