„You are fucked“: Wie Hacker SalzburgMilch lahmlegten
Diese Geschichte erschien in profil Nr. 33/2021 vom 15.08.2021.
Dienstag, der 22. Juni, später Abend. Ein Sturm zieht über die Milchstraße. Diese liegt etwas nördlich des Salzburger Hauptbahnhofs im Stadtteil Itzling und hat im Wesentlichen genau einen Anrainer: Auf Nummer 1 bis 5 residiert die drittgrößte Molkerei Österreichs: SalzburgMilch, 366 Mitarbeiter, Vorjahresumsatz 229 Millionen Euro, tägliche Milchanlieferung 790.000 Kilogramm. Ein lokaler Leitbetrieb, genossenschaftlich organisiert, modern und zielstrebig.
Es war eines dieser Gewitter, wie sie heuer so häufig sind: kurz und heftig. Als gegen 22 Uhr in der Produktionshalle die Computersysteme ausfallen, vermuten die Mitarbeiter dementsprechend einen Blitzeinschlag als Ursache. Doch die Stromversorgung funktioniert. Die Systeme nicht. Mehrere Versuche, sie wieder hochzufahren, scheitern. Florian Schwap, Prokurist und Kommunikations-Chef von SalzburgMilch, erzählt von den hektischen Minuten, die darauf folgten: „Nachdem es den Kollegen nicht gelungen ist, das System wieder hochzufahren, haben sie unsere IT-Abteilung kontaktiert, unser IT-Chef, Prokurist Albert Wallner, hat dann per Fernwartung versucht, das Problem zu lösen. Aber er ist auch gescheitert.“ Die Situation ist unklar, der Betrieb steht. Plötzlich erscheint auf einem der Monitore eine Botschaft: „SalzburgMilch, you are fucked.“
Die Erpressung
Genau so war es dann auch. Nichts ging mehr. Sämtliche Passwörter waren geändert, kein Zugriff auf das IT-System mehr möglich, kein File-Server mehr zugänglich, kein Mail-Server, keine Buchhaltung, keine Verrechnung, keine Logistik, kein Lager. Dafür ein Link, der ins Darknet führte, in den unregulierten, anonymen Bereich des Internets. Am Ende dieses Links: ein Ultimatum und ein Angebot. Das System könne wiederhergestellt und die Daten entschlüsselt werden. Das koste aber. Es folgt eine Anleitung zur Lösegeld-Übergabe in Kryptowährung und ein Chatroom für allfällige Fragen. Eine Erpressung.
"Wir haben sehr wohl auch Ermittlungserfolge, aber, um ehrlich zu sein: Es wird immer komplizierter"
Und überhaupt keine Seltenheit. Ransomware-Angriffe, also die feindliche Übernahme und Verschlüsselung von Computersystemen mit erpresserischer Absicht, haben sich in den vergangenen eineinhalb Jahren zur lukrativsten - und damit auch häufigsten - Form der Cyber-Kriminalität entwickelt. Nach einer aktuellen Umfrage unter 1000 Unternehmen errechnete der deutsche Digitalverband Bitkom für die Jahre 2020/21 einen jährlichen Gesamtschaden von 223 Milliarden Euro durch Cyber-Kriminalität allein in Deutschland. Die auf Ransomware-Angriffe zurückzuführenden Schäden-Lösegeldzahlungen, aber auch Betriebsunterbrechungen oder Datenverluste-hätten sich im Vergleich zum Umfragezeitraum 2018/19 mehr als vervierfacht. Fernando Ruiz Pérez, Chef des Cybercrime Center von Europol, erklärte der "New York Times" schon Anfang 2020 zur Flut neuer Ransomware-Angriffe: "Wir haben sehr wohl auch Ermittlungserfolge, aber, um ehrlich zu sein: Es wird immer komplizierter."
Die Hacker
22. Juni 2021, spätnachts. Bei Salzburg-Milch steht die Produktion, aber die Handys laufen heiß. Die Polizei wird eingeschaltet, das Landeskriminalamt Salzburg übernimmt die Ermittlungen. Spezialisten des IT-System-Anbieters Bechtle werden hinzugezogen. Geschäftsführer Andreas Gasteiger erfährt gegen 2 Uhr früh von der Krise. Die Lösegeldforderung sei "erheblich", erzählt Gasteiger später den "Salzburger Nachrichten", heute möchte das Unternehmen - mit Hinweis auf die immer noch andauernden Ermittlungen - keine näheren Details zu der Erpressung kommunizieren. Die bekannten Einzelheiten des Falls legen aber nahe, dass hinter dem Angriff auf die SalzburgMilch-Server die Erpressersoftware der Gruppe Pay Or Grief steckt (kurz auch: Grief), die zuvor schon unter dem Pseudonym DoppelPaymer agierte und zuletzt unter anderem mehrere Schulen in den USA, einen Autohändler in Orange County und die Verwaltung des sächsischen Landkreises Anhalt-Bitterfeld digital überfallen hatte.
Tatsächlich ist die Bandbreite der Opfer von Ransomware-Angriffen erstaunlich hoch, sie reicht von der Putzmittelfirma im Pongau bis zum Ölmulti in Georgia, vom Gartengestalter bis zum Pharmakonzern. Auch kritische Infrastruktur - die digitale Verwaltung von Zollhäfen oder Kraftwerken, die Verrechnungssoftware großer Banken - war schon Ziel von Ransomware-Angriffen. Spitäler in Italien konnten kurzfristig keine Patienten mehr aufnehmen, Bezirksverwaltungsbehörden in Las Vegas und Atlanta verloren den Überblick über Sozialhilfezahlungen und Autozulassungen. Nach einem Angriff auf die Stadtverwaltung von New Orleans Ende 2019 mussten die Polizistinnen der Stadt ihre Berichte wochenlang handschriftlich verfertigen.
"Im Grunde kommen alle Unternehmen und Institutionen, die digitale Daten verarbeiten, als Ziele infrage",erklärt Niklas Keller, Cyberdefense-Experte im Bechtle IT-Systemhaus Österreich: "In der Regel handelt es sich um zielgerichtete Angriffe, keine Zufallstreffer. Die Wirtschaftlichkeit eines Unternehmens wird von den Angreifern vorab sehr genau ausgekundschaftet." Die Cyberkriminellen haben sich professionalisiert, sie kennen ihre Opfer gut - und sie wissen, wo es wehtut. Stefan Panholzer, Chief Information Officer im Bechtle IT-Systemhaus Österreich, ergänzt: "Bei großen Unternehmen dauern die Attacken oft monatelang, die Angreifer sind meist unbemerkt im System, wo sie ihre Angriffe Schritt für Schritt vorbereiten. Die wissen dann sehr genau, was sie wann machen müssen, damit ihren Forderungen möglichst rasch Folge geleistet wird."
Im Fall von SalzburgMilch hatten die Angreifer allerdings einen Punkt übersehen. Florian Schwap: "Wir hatten das Glück, dass die Steuerung der Milchabfüllanlagen in einem anderen System läuft, wir konnten also weiterhin die Milch unserer Eigentümer - es handelt sich um fast 2500 bäuerliche Milchbetriebe - abholen und verarbeiten." Die Krise war zwar akut, aber nicht katastrophal. "Aber wir waren in diesen Tagen doch im Blindflug unterwegs, weil die übliche Produktionsplanung nicht möglich war. Plötzlich war alles sehr handwerklich. Wir haben die produzierten Produkte direkt von den Anlagen in den LKW gefahren, wir konnten keinen Lieferschein schreiben, keine Rechnung, das war alles sehr manuell."
"Dass wir noch einen Fuß in der von uns selbst oft kritisierten vordigitalen Welt hatten, hat uns gerettet"
SalzburgMilch machte - vorübergehend - ein paar Schritte zurück, um überhaupt weiterzukommen. "Dass wir noch einen Fuß in der von uns selbst oft kritisierten vordigitalen Welt hatten, hat uns gerettet", ist Florian Schwap überzeugt: "Wenn wir ein vollintegriertes digitales System gehabt hätten, wären unsere Chancen, einigermaßen glimpflich aus dieser Sache herauszukommen, sehr gering gewesen."
Das Problem
Tatsächlich spielt die technologische Entwicklung den Cyber-Erpressern in die Hände. Unternehmen werden von IT-Systemen immer abhängiger, gleichzeitig sinkt die Fehlertoleranz. Digitale Systeme erhöhen die Effizienz und verringern den Spielraum für Abweichungen. Auch kleine Ausfälle können Kaskaden von Folgeschäden auslösen. Die Zahnräder müssen ineinandergreifen, sonst steht das komplette Werk. Das betrifft nicht nur globale Lieferketten und hochspezialisierte Just-in-time-Produktionen, sondern zunehmend auch scheinbar alltägliche Abläufe. Das verbessert die Verhandlungsposition böswilliger Kräfte. Die durchschnittliche Lösegeldforderung von Ransomware-Hackern lag laut dem IT-Sicherheitsunternehmen Coveware im Jahr 2018 bei rund 7000 Dollar, 2019 bereits bei 41.000 Dollar. Im Vorjahr wurden im internationalen Schnitt bereits mehr als 200.000 US-Dollar verlangt.
Behörden und IT-Sicherheitsexperten raten von Lösegeldzahlungen in aller Regel ab. Nicht nur, weil sie den Anreiz der Täter für weitere Straftaten erhöhen. Die Wahrscheinlichkeit, mit schneller Kooperation glimpflich davonzukommen, bleibt unkalkulierbar. Das österreichische Bundeskriminalamt verfügt zwar über internationale Erfahrungen darüber, wie bekannte Ransomware-Gruppen üblicherweise vorgehen, welche Eskalationsstufen zu erwarten sind und welche Drohpotenziale möglicherweise nur geblufft sind. Die Abwägung für betroffene Institutionen ist freilich keine einfache. Ein Beispiel: Im Jahr 2018 verweigerte die Stadt Atlanta im US-Bundesstaat Georgia eine Lösegeldzahlung im Wert von 50.000 US-Dollar. Allein die Aufarbeitung und Krisenkommunikation des Schadens kostete die Stadt in der Folge mehr als zwei Millionen Dollar.
Niklas Keller, der Cyberdefense-Experte im Bechtle IT-Systemhaus, hatte schon mit vielen Ransomware-Opfern zu tun, er kennt ihren Zwiespalt: "Als Unternehmer möglicherweise vor dem Nichts zu stehen, ist ein starkes Motiv, einer Forderung nachzukommen. Wir raten zwar prinzipiell davon ab, wie das auch Polizei oder BKA machen, aber eine wirtschaftlich sinnvolle Perspektive muss doch gegeben sein. Das hängt vom Einzelfall ab und vom Ausmaß des Angriffs. Die Chance, gekaperte Daten wieder zu entschlüsseln, ist sehr gering. Wir können Kunden aber bei der Disaster Recovery unterstützen, das heißt, aus bestehenden Backups die Systeme wieder zur Verfügung zu stellen. Für die Betroffenen ist das natürlich eine akute Krisensituation. Umso wichtiger ist es, keine emotionale, sondern eine rationale Entscheidung zu treffen."
Anders als etwa in den USA macht sich in Österreich nicht zwangsläufig strafbar, wer Lösegeldforderungen nachkommt. Wirkliche Sicherheit lässt sich so aber nicht erkaufen. Stefan Panholzer, CIO im Bechtle IT-Systemhaus: "Vor allem kleinere, weniger organisierte Angreifer haben oft keine Motivation, ihre Seite der Vereinbarung zu erfüllen. Ich gehe mit den Erpressern ja keinen Vertrag ein. Ich bin einem Unbekannten ausgeliefert und weiß nicht, ob ich das bekomme, wofür ich bezahle. In vielen Fällen folgen außerdem nach der ersten Attacke - egal ob bezahlt wurde oder nicht - mittelfristig ein oder sogar mehrere weitere Angriffe."
Salzburg, am Tag danach. In der Molkerei läuft die Produktion, so weit eben möglich, analog. Man improvisiert. Die Rohmilch der Milchlieferanten wird abgeholt, zusätzliche Kühl- und Lagerflächen werden aufgetrieben, der Handel übernimmt die Ware kurzfristig unbürokratisch. Unternehmens-Sprecher Florian Schwap: "Wir haben in diesen Tagen tatsächlich sehr viele Zettel ausgefüllt." Gleichzeitig versuchen die IT-Experten im Haus fieberhaft, das System wiederherzustellen. Rasch ist klar, dass dies keine kurzfristig zu bewältigende Aufgabe sein wird. Die Unternehmensführung überlegt: Soll man mit der Sache an die Öffentlichkeit gehen? Schwap: "Wir haben uns entschlossen, damit offensiv umzugehen. Es wäre aber ohnehin kaum möglich gewesen, das geheim zu halten. Wir liefern täglich 1000 Paletten Frischware an den Handel, irgendwann wären die Regale leergeblieben und die Kunden und Konsumenten wären verunsichert worden. Also haben wir eine offene Kommunikation beschlossen."
Die Unsicherheit
Die Kommunikation mit den - nach wie vor unbekannten - Erpressern wird derweil vom LKA koordiniert. Schwap: "Du kämpfst gegen einen anonymen Gegner. Einem Bankräuber kannst du nachrennen, von einem Hacker weißt du gar nichts. Du weißt nicht, wer er ist, wo er ist, wie du auf deren Radar gekommen bist. Es ist ein Kampf ohne Gegner."
"Es hat wirklich einen sensationellen Teamgeist gegeben, niemand hat die Nerven weggeschmissen"
Die größte Herausforderung in diesen Stunden bleibt allerdings das eigene Hochregallager. Ein Wunderwerk moderner Logistik, 25 Meter hoch, 100 Meter lang, vier Lagergassen, vollautomatisch angesteuert und chaotisch geführt, sprich: Nur das EDV-System weiß, welche Position sich zu welchem Zeitpunkt wo befindet. Das letzte Backup vor dem Angriff war zehn Stunden alt, eigentlich ein guter Wert. Aber allein in dieser Zeit waren im Lager 1500 Palettenbewegungen getätigt worden. Schwap: "Wir wussten zwar ziemlich genau, was im Haus ist, aber wir wussten nicht, wo. Das musste gewissermaßen händisch, mit vereinten Kräften, nachvollzogen werden. Die Mitarbeiter aus dem Haus - und zwar aus allen Abteilungen - haben tagelang dafür gehackelt, sind Stapler gefahren, haben den Lagerstand erhoben, Lieferungen verpackt. Es hat wirklich einen sensationellen Teamgeist gegeben, niemand hat die Nerven weggeschmissen, alle waren bereit, sich voll einzusetzen und auch nach 17 Uhr und sogar am Wochenende für die Firma da zu sein." Anders wäre es auch nicht gegangen. Die Zeit drängte gewaltig. Eine Molkerei handelt mit verderblicher Ware.
Schon am 23. Juni erscheinen die ersten Online-Berichte über den Hackerangriff in der Milchstraße, am 24. ist der Fall auch in der internationalen Presse vertreten, "Welt" und "Neue Zürcher Zeitung" berichten. Fernsehteams bitten um Interviews. Die allermeisten Ransomware-Attacken laufen unterhalb der medialen Wahrnehmungsschwelle ab. In spezialisierten Internetforen finden sich allerdings Listen mit den (bestätigten wie unbestätigten) Attacken der bekanntesten Ransomware-Gruppen, sie haben Tausende Einträge. Es sind die großen Fische der Branche: REvil, Conti, DarkSide (die auch den Hack der amerikanischen "Colonial Pipeline" Anfang Mai verantworten, der zu tagelanger Benzinknappheit an der gesamten US-Ostküste führte und bei dem schließlich ein Lösegeld von fünf Millionen US-Dollar gezahlt wurde, das allerdings vom FBI aus den Kryptowährungs-Konten der Hacker wieder abgezogen werden konnte).Viele dieser Gruppen agieren wie kriminelle Start-ups, die nicht nur auf eigene Rechnung agieren, sondern eine Art Cybercrime-Franchise betreiben. Auch Menschen ohne Code-Erfahrung können über solche "Ransomware-as-Service"-Angebote zu Cyber-Erpressern werden, die Eintrittsschwelle liegt ziemlich niedrig. Im Darknet werden Einzelservices angeboten oder Komplettpakete geschnürt, das Repertoire reicht von der vorgefertigten Schadsoftware bis zur Abwicklung von Lösegeldverhandlungen samt telefonischem Kundendienst für das Opfer oder - bei mangelnder Zahlungsbereitschaft - zusätzlichen Druckmitteln wie der Veröffentlichung sensibler Unternehmensdaten. Zwischen Oktober 2020 und Mai 2021 soll allein die Gruppe DarkSide laut "New York Times" über 15 Millionen US-Dollar in Bitcoin eingenommen haben; weitere 75 Millionen gingen an assoziierte Sub-Ganoven. REvil hat nach eigenen Angaben bereits 100 Millionen Dollar an Lösegeldern erpresst. Zuletzt forderte die Gruppe 70 Millionen Dollar für einen Generalschlüssel zum sogenannten Kaseya-Hack, der über den Umweg einer IT-Sicherheits-Software Tausende Unternehmen in aller Welt kompromittierte.
Bei aller offensichtlichen Dringlichkeit haben die Hacker wenig Konsequenzen zu befürchten. Zwar ist die Strafandrohung für schwere Erpressung hoch genug, damit die österreichischen Behörden auch internationale Rechtshilfeersuchen stellen können; aber der Amtsweg ist lang und die Spur der Täter verworren. In den seltenen Fällen, in denen konkrete Personen hinter den anonymen Darknet-Chats identifiziert werden können, residieren diese meist außerhalb der zuständigen Rechtsprechung. Allerdings ist das Problem inzwischen auf höchster Ebene angekommen. Bei ihrem ersten Gipfeltreffen in Genf Mitte Juni beschlossen Russlands Präsident Wladimir Putin und sein US-Widerpart Joe Biden die Einrichtung einer gemeinsamen Arbeitsgruppe, die USA erhöhen den Druck auf einzelne Staaten, bei der Ermittlung gegen Cyberkriminelle mehr Kooperation zu zeigen. Die Angriffe auf die Colonial Pipeline und den IT-Dienstleister Kaseya haben - wie zuvor schon der Solarwind-Hack, der auch einige US-Behörden empfindlich traf - die tatsächliche Dramatik der digitalen Sicherheitslage und deren Auswirkungen offensichtlich gemacht. Österreich will - so Innenminister Karl Nehammer bei der Präsentation des Cybercrime-Reports 2020 in der Vorwoche - die Ressourcen zur Bekämpfung von Cybercrime im Bundeskriminalamt demnächst verdoppeln.
OTS-Presseaussendung vom 1. Juli 2021, 8:59 Uhr: "Salzburgmilch GmbH nimmt nach massivem Cyberangriff wieder vollen Betrieb auf. Österreichs drittgrößter Molkereibetrieb kehrt acht Tage nach einem schwerwiegenden Cyberangriff wieder in den normalen Prozess zurück."
Die Chaostage sind vorbei. "Wir haben es aus eigener Kraft geschafft, die Systeme wieder voll zum Laufen zu bringen", freut sich Firmensprecher Florian Schwap. Eine Herkulesaufgabe: "Wir haben das System Schritt für Schritt neu aufgesetzt. Das ist keine kleine Aufgabe. Wir haben fast 400 Mitarbeiter und mussten nicht nur alle Server, sondern sämtliche Arbeitsgeräte und Laptops neu aufsetzen." Und trotzdem war es noch immer nicht vorbei. Die von den IT-Sicherheitsleuten installierte Überwachungssoftware hat auch nach dem 1. Juli immer wieder wegen verdächtiger Vorgänge angeschlagen. Wie die Erpresser ins System gelangen konnten, ist noch nicht zweifelsfrei geklärt. Der Ermittlungen laufen. Die Front ist weitergezogen. Zum nächsten Einschlag.