Moderne Cybercrime-Syndikate übernehmen die Geschäftspraktiken von echten Unternehmen und ziehen daraus Nutzen, leiden aber zeitgleich auch an den Folgen. [...]
Das alte Hacker-Stereotyp – der asoziale einsame Wolf mit Programmierkenntnissen – wurde durch etwas weitaus merkwürdigeres in den Hintergrund gedrängt: das Cybercrime-Unternehmen. Dieses mutierte Geschäftsmodell ist exponentiell gewachsen. Laut einer Studie des Endpunktsicherheitsanbieters Bromium aus dem Jahr 2018 belaufen sich die jährlichen Einnahmen aus der Cyberkriminalität auf 1,5 Billionen US-Dollar.
Die Raffinesse der Cybercrime-Operationen unterstreicht dieses Ausmaß des Schadens. Die einzige Erklärung ist, dass das Profitmotiv einen Motor antreibt, der die Schaffung effektiver Organisationen vorangetrieben hat. Doch diese Organisationen unterliegen merkwürdigerweise vielen der Unwägbarkeiten des normalen Geschäftslebens.
Das vielleicht merkwürdigste Ergebnis dieser Situation ist, dass globale Cybercrime-Syndikate unter herkömmlichen Geschäftsproblemen wie PR-Schwierigkeiten leiden.
„Geschäftsbereiche“
Was wir für kriminelle Aktivitäten halten, ist für die Cyberkriminalität ein Geschäftszweig. Alles, was nicht zur Erzielung von Einnahmen beiträgt – das Hacken um der Zerstörung oder der persönlichen Befriedigung willen – spielt hier keine Rolle.
Das Geschäft der gewinnorientierten Cyberkriminalität lässt sich in 6 Hauptbereiche unterteilen:
- Cyber-Diebstahl – Diebstahl von Geld oder anderen Vermögenswerten (z. B. Benutzerdaten und geistiges Eigentum) von Unternehmen und Einzelpersonen
- Illegaler Datenhandel – gestohlene Daten (z. B. Kreditkarteninformationen und andere personenbezogene Daten) werden gekauft und verkauft und dann für weitere Diebstähle verwendet.
- Internetgestützter Schwarzmarkt – Internetgestützter Handel mit illegalen Waren wie Drogen und Tieren [engl.]
- Kriminelle Business-Tools und -Dienste – der Schatten der Cyberkriminalität von normalen Business-Diensten, z. B. Jobbörsen
- Crimeware/Cybercrime-as-a-Service (CaaS) – eine Vielzahl von Tools, die für die anderen Aktivitäten verwendet werden, z. B. Exploit-Kits
- Ransomware/Ransomware-as-a-Service (RaaS) – Verschlüsselung von Daten und Lösegeldforderung
Wie sind Dienste wie Hacker-Jobbörsen und Marktplätze für gestohlene Identitäten zu verstehen? Sie sind so etwas wie der böse Zwilling gewöhnlicher Dienste. Sie dienen einem geschäftlichen Zweck, und wenn das ruchlose Endziel nicht wäre, könnten sie völlig legitim sein. Sie gleichen einem vielversprechenden Studenten, der erfolgreich wäre, wenn er sich beim Lernen genauso anstrengen würde wie beim Schummeln.
In Wirklichkeit dienen sie jedoch einem schädlichen Zweck und ermöglichen diesen. Vom privaten Schock über den Verlust des Zugangs zu Konten bis hin zur kollektiven Belastung durch eine verkrüppelte Infrastruktur – der Tribut ist hoch.
Zahlen für all diese Geschäftsbereiche sind schwer zu ermitteln, aber die Sophos-Studie „2020 State of Ransomware“ hat ergeben, dass „die durchschnittlichen Kosten für die Behebung der Folgen des jüngsten Ransomware-Angriffs (unter Berücksichtigung von Ausfallzeiten, Personalzeit, Gerätekosten, Netzwerkkosten, entgangenen Geschäftsmöglichkeiten, gezahltem Lösegeld usw.) bei Unternehmen, die das Lösegeld nicht zahlen, bei 732.520 US-Dollar liegen und bei Unternehmen, die zahlen, auf 1.448.458 US-Dollar ansteigen“.
Personalwesen und PR
Selbst normale IT-Beschäftigte leiden unter einem hohen Maß an Burnout und psychischen Problemen – stellen Sie sich all das vor, wenn Sie zusätzlich wissen, dass Ihre Arbeit dazu dient, Elend zu verursachen.
Einiges davon lässt sich auf schlichte Gier zurückführen: IT-Beschäftigte in der Kriminalitätsbranche verdienen mehr als andere. Außerdem haben manche Menschen einfach kein Gewissen. Aber wir sprechen hier von weitläufigen Organisationen mit Gemeinschaften von Hunderten von Mitarbeitern. Die erzielten Ergebnisse erfordern ein hohes Maß an beharrlicher, gemeinsamer Anstrengung von vielen Menschen.
Die Conti-Leaks [engl.], die durch die Invasion in der Ukraine ausgelöst wurden, haben deutlich gemacht, wie typisch das Leben und die Arbeit moderner Hacker ist. Der Sicherheitsforscher Daniel Cuthbert schließt sich dieser Meinung an und bemerkt: „Was bei diesem Leck zum Vorschein kam, zumindest für mich, waren die alltäglichen Aspekte des Bürolebens. Romantik, Freizeit, Umgang mit Kollegen, Misstrauen, usw.“
Ganz normale Leute, die arbeiten, um ihre Rechnungen zu bezahlen.
Die Fähigkeit, das Wesen der Arbeit auszublenden, muss mit einer Art Philosophie untermauert werden – mit einem Gegengewicht. So etwas wie: Es sind die unterdrückten slawischen Nationen, die gegen den gierigen, amerikanisch geführten Westen kämpfen. (Dies ist auch der Grund für die erklärte, aber nur halbherzig umgesetzte Verpflichtung vieler Ransomware-Gruppen, keine Organisationen wie Krankenhäuser anzugreifen.)
Zumindest lautet der Leitsatz: Wir greifen nicht unsere eigenen Leute an.
Und so können wir deutlich sehen, welch dramatische Auswirkungen der Zusammenbruch dieser Rechtfertigung auf den Zusammenbruch von Conti hatte. Indem sie den verheerenden Angriff auf ihre ukrainischen Landsleute unterstützten, wurde der Vertrag gebrochen. Es war ein kolossaler PR-Fehltritt. Er führte zu einem schweren Schlag für Conti – für ihre Marke, wie viele es beschrieben haben.
Viele Analysten (mich eingeschlossen) glaubten, dass Conti diesen Schlag zwar geschwächt, aber immer noch betriebsbereit überstehen würde. Wir haben die Auswirkungen unterschätzt. Das von uns verwendete Modell war nicht ganz richtig eingestellt.
In einem normalen Unternehmen würde ein solcher Fauxpas bedeuten, dass man die PR-Firma feuert, den CMO auswechselt, vielleicht ein aggressives Rebranding durchführt und Schadenskontrolle betreibt. Nicht so im Fall von Conti. Der Schlag gegen die Illusion, die Arbeit sei gerecht, war existenziell. Die kognitive Dissonanz wurde einfach zu groß. Conti gibt es jetzt anscheinend nicht mehr [engl.].
Die Cyberkriminalität hat die Nützlichkeit der PR für sich entdeckt. Es ist üblich geworden, Pressemitteilungen über prominente Hackerangriffe zu veröffentlichen. Die Förderung des Angriffs auf Costa Rica durch Conti war ein – wenn auch letztlich erfolgloser – Versuch, relevant zu bleiben. Für die Cyberkriminalität ist das Image wichtig, um sowohl Mitarbeiter anzuziehen als auch Opfer zu bedrohen.
Ransomware-Banden haben auch herausgefunden, wie sie die Medien nutzen können, indem sie mit der Veröffentlichung gestohlener Informationen drohen.
Fazit
Wie bei der konventionellen organisierten Kriminalität gibt es eine gewisse Schnittstelle zwischen Cybercrime-Gruppen und korrupten oder unethischen Regierungselementen. Im Bereich der Cyberkriminalität hat die verteilte, flexible Macht des Internets zu einer zunehmenden Verflechtung zwischen Hackern und Nationalstaaten geführt. Es ist praktisch unmöglich, sie vollständig voneinander zu trennen. Der Cyberspace ist zu einem wichtigen Tätigkeitsbereich für alle geworden, auch für Nationen, die um Macht und Status ringen.
Ein großer Teil der Unternehmenskriminalität gedeiht mit impliziter oder expliziter staatlicher Unterstützung und kann in Wirklichkeit Spionage und Sabotage sein, die für ein Geschäftsmodell genutzt werden. Wo verläuft also die Grenze zwischen Cyberkrieg und Cyberkriminalität?
Das ist schwer zu sagen. Die gesamte Branche ist sehr seltsam.
*Matthew Tyson ist Mitbegründer der Dark Horse Group, Inc. Er glaubt an Technologie, bei der der Mensch an erster Stelle steht. Wenn er nicht gerade Gitarre spielt, erkundet Matt das Hinterland und die philosophischen Gefilde. Er schreibt seit 2007 für JavaWorld.
Be the first to comment