Es sind vergleichsweise simple Angriffe, die schnell Wirkung zeigen. Immer wieder legen Erpresserbanden Webseiten mit sogenannten DDoS-Attacken lahm. In der vergangenen Woche schlug das „Armada Collective“ in Griechenland zu: Die Server von drei griechischen Banken wurden mit Anfragen geflutet, Webseiten waren zeitweise nicht mehr zu erreichen. Per E-Mail forderten die Erpresser die Banken auf, Lösegeld in Form von Bitcoins zu überweisen — sonst würden massivere Angriffe folgen.
Für DDoS-Attacken (Distributed Denial of Service) benötigen die Angreifer keine fortgeschrittenen Hacker-Kenntnisse. Dennoch können sie Unternehmen und Organisationen empfindlich treffen, wenn sie — temporär — Features lahmlegen, die für deren Geschäft entscheidend sind. Funktioniert das Onlinebanking nicht mehr, ist das für die Kunden ein Ärgernis. Wenn die Buchungsplattform eines Reisevermittlers ausfällt, verursacht die Attacke einen direkten Verlust.
Der Sicherheitsfirma Akamai zufolge ist die Anzahl von DDoS-Angriffe seit 2014 um 132 Prozent gestiegen. Und kriminelle Gruppen wie „Armada Collective“ haben sich in den vergangenen Monaten professionalisiert. Sie operieren wie gut organisierte Schutzgelderpresser, die Unternehmen für Unternehmen abklappern, Buch darüber führen, wer wann wieviel zahlen muss, und ihren Drohungen mit steigender Gewaltanwendung Nachdruck verleihen — nur eben digital.
Per E-Mail kündigt das „Armada Collective“ dann eine erste Attacke an, die etwa eine Viertelstunde dauert — als Kostprobe dessen, was in Zukunft folgen könnte. „Es wird nicht stark sein, wir werden die Seite nicht komplett lahmlegen, um den Schaden im Moment klein zu halten“, so die Drohung. „Es geht nur darum zu beweisen, dass es sich nicht um einen Hoax handelt.“ Zahlen die angeschriebenen Unternehmen nicht innerhalb der angegeben Frist, meist 24 Stunden, sendet die Erpressergruppe eine Erinnerungs-Mail — meist gefolgt von der nächsten Attacke.
Die Bitcoin-Beträge, die in der ersten Nachricht gefordert werden, sind vergleichsweise gering, meist umfassen sie nur ein paar Tausend Euro. Für jeden Tag, an dem das Unternehmen kein Lösegeld zahlt, wird der Betrag nach oben gesetzt und der Angriff intensiviert.
Das Kalkül: Firmen sollen dazu verleitet werden, sofort zu zahlen, in der Hoffnung, das sich das Problem schnell erledigt. Sobald sie das Lösegeld erhalten, versprechen die Angreifer, dass die Firma nie wieder etwas von ihnen hören wird. Zahlen sollte man trotzdem nicht. Meist ist es sinnvoller, das Geld in die Aufrüstung der eigenen IT-Abteilung zu stecken, damit die nächste DDoD-Attacke ins Leere läuft.
Wie bei klassischer Schutzgelderpressung oder Entführungsfällen zeigen Unternehmen, die Lösegeldforderungen nachkommen, dass sie erpressbar sind. Manche kriminellen Gruppen stachelt das nur an, immer höhere Beträge zu fordern.
Der E-Mail-Anbieter Protonmail zahlte etwa 20 Bitcoins an seine Erpresser — doch die Attacken endeten nicht. Darüber hinaus hat jeder erfolgreiche Erpressungsversuch Copy-Cat-Signalwirkung: Je mehr Opfer zahlen, desto attraktiver ist das Geschäft für Neueinsteiger.
In der letzten Folge „CrimeWatch“ ging es um die Crowd-Fahndung: Soziale Netzwerke können bei der Aufklärung von Verbrechen helfen — aber auch zum Problem werden.