Für Thomas Horn, den Geschäftsführer eines mittelständischen Familienbetriebs in Baden-Württemberg, ist es ein rabenschwarzer Tag. Schon seit dem frühen Morgen hört sein Handy nicht auf zu klingeln. Aufgeregt schildern seine Mitarbeiter am anderen Ende der Leitung, dass sich kein Programm auf den Firmen-PCs mehr öffnen lässt – offenbar eine Cyber-Attacke.
Auf dem Weg ins Büro überschlägt Horn bereits Zahlungsausfälle in seinem Kopf, erinnert sich an Zeitungsartikel, die er über ähnliche Vorfälle gelesen hat. An seinem PC findet er quer durch alle Ordner verteilt das gleiche Textdokument. Darin ein Link zu seinem Chatfenster, das sich nur über den Tor-Browser im Darknet öffnen lässt.
„Hallo?“, schreibt er.
„Herzlich willkommen beim Kundenservice. Derzeit stellen wir die Liste der Daten zusammen, die wir aus Ihrem Netzwerk erfasst haben. Vorerst sollten Sie wissen, dass eine Zusammenarbeit mit uns der beste Weg ist, um diese Angelegenheit schnell und kostengünstig zu klären. Haben Sie bitte etwas Geduld“, kommt es freundlich auf Englisch zurück. Und dann: „Sind Sie berechtigt, mit uns zu verhandeln?“
***
Thomas Horn, seine Firma und das beschriebene Szenario sind fiktiv, basieren aber auf Fällen, die jede Woche mehrfach in ganz Deutschland ablaufen. Laut dem Branchenverband Bitkom ist deutschen Unternehmen im vergangenen Jahr ein Schaden von 202 Milliarden Euro durch Cyberangriffe entstanden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zählt für 2025 unter Berufung auf Leak-Seiten insgesamt 298 Ransomware-Angriffe. Gemeint sind Attacken mit Schadprogrammen, mit denen ein Eindringling den Zugriff auf Daten und die Nutzung eines ganzen Computersystems verhindern kann.
Nur selten schaffen sie es groß in die Presse – etwa, wenn wichtige zivile Infrastruktur betroffen ist, wie vor Kurzem bei einem Berliner Heizkraftwerk.
Wie die Angreifer in ein System eindringen konnten, ist oft schwer nachvollziehbar. Mitunter sind sie schon seit Monaten in der IT-Infrastruktur, kopieren Dateien, machen sich ein Lagebild. Schließlich verschlüsseln sie zentrale Daten des Systems, sodass jegliche Arbeit unmöglich wird.
„Die Erpresser operieren klassischerweise auf dem Double- oder Triple-Extortion-Modell“, sagt Ramon Weil, CEO von SECUINFRA. Die deutsche Cybersecurity-Firma berät Firmen zu digitaler Sicherheit und analysiert deren Sicherheits-Schwachstellen.
Erst verschlüsseln sie die Daten für das Unternehmen, sodass es nicht mehr auf diese zugreifen kann. Als Zweites drohen sie mit der Veröffentlichung der Daten im Darknet, etwa Kundeninformationen oder Firmenpatente. Und im dritten Schritt werden Geschäftspartner im Umfeld mit der Veröffentlichung sensibler Daten erpresst, um den Druck auf das angegriffene Unternehmen zu erhöhen.
Um die Verschlüsselung rückgängig zu machen, muss die Firma eine Art Lösegeld zahlen. Solange das nicht geschieht, stehen Unternehmen häufig still. „Binnen einer Woche kann ein ganzes Lebenswerk ausradiert werden“, sagt Weil.
Ramon Weil, CEO von SECUINFRAHäufig werden Informationen über ausgenutzte Schwachstellen im Darknet verkauft, etwa über spezielle Foren wie Russian Markets. Bei SECUINFRA observiert ein Team namens „Falcon“ dort Trends und neue Angebote. Wer sich dort umsehen will, muss meist ein Pfand in Form einer Kryptowährungssumme hinterlegen.
Besagte Foren sehen aus wie solche, in denen sich Menschen über Eheprobleme, HipHop oder Politik unterhalten – allerdings etwas zwielichtiger. Auf einer Website räkelt sich eine leicht bekleidete Frau auf dem Forenlogo, links und rechts von den Beiträgen blitzt Werbung für Online-Casinos oder Telegram-Gruppen auf, in denen mutmaßlich gehackte Passwörter verkauft werden. Eine andere populäre Seite imitiert in ihren Logofarben das Erotikportal „Pornhub“.
Man sollte sich diese Foren nicht als reinen Marktplatz von Kriminellen vorstellen. Auch hier diskutieren die Nutzer über das Weltgeschehen, verschicken Memes oder schließen Internetfreundschaften. Der Ton ist schwarzhumorig bis derb und geprägt von Abkürzungen, die auch Cyber-Experten nicht immer verstehen.
In klar geordneten Teilen dieser Foren geht es dann ums Geschäft. Angebote sind überschrieben mit Zeilen wie „Botswana Government Health Portal“ oder „TOP 10 Global Aerospace Firm – 20 Billion Revenue“.
Ein Screenshot aus einem Forum im Darknet – hier werden Angebote zu Sicherheitslücken angepriesenOft sind es Daten von lokalen Sicherheitsbehörden, Passwortsammlungen von Nutzern der Spielebörse Steam oder eben angebliche Zugänge zu deutschen Mittelständlern. Ein Zugang zu einem Unternehmen – sogenannter „Initial Access“ – wird dort für wenige Hundert Dollar bis zu höheren fünfstelligen Beträgen verkauft, je nach Unternehmensgröße und Art des Zugangs. Oft reicht eine kleine Wunde zum Eindringen in die IT-Infrastruktur, von der aus sich ein Hacker teils selbst weiterarbeiten muss. Manch einer schließt die Sicherheitslücke gleich hinter sich zu, damit nicht noch andere Kriminelle ihr Glück versuchen.
***
In unserem fiktiven Maschinenbau-Unternehmen kann derweil keiner mehr auf Bauanleitungen, Patente oder auch nur E-Mails zugreifen. Mittlerweile sind zwei Tage vergangen, die Geschäftsführung hat alle Mitarbeiter nach Hause geschickt. Nur ein kleiner Krisenstab und ein Rumpfteam der Verwaltung sind geblieben, um die Kommunikation intern und extern aufrechtzuerhalten. Erste Presseanfragen trudeln ein. Mittlerweile kommuniziert ein professioneller Verhandler mit den Angreifern, die in höflichem Ton ihre Lösegeldforderung platzieren: 200.000 Dollar, zu überweisen in Bitcoin.
Solch ein professioneller Verhandler ist zum Beispiel Oliver Schneider, der jahrelang für die Bundeswehr mit Geiselnehmern in Syrien und Nigeria verhandelt hatte, bevor er seine Beratungsfirma „RiskWorkers“ gründete.
„Die Erpresser inszenieren sich gerne als eine Art Sicherheitstester“, sagt er. „Sie sehen sich weniger als Kriminelle, sondern als Helfer in der Not. Schließlich bringen sie das System ja wieder zum Laufen.“ Verfügt das Opfer nicht über gute Backups, bleibt oft nichts anderes übrig, als zu verhandeln. „Die Polizei ruft oft dazu auf, auf keinen Fall mit den Erpressern zu kommunizieren. Diesen Ansatz finde ich völlig falsch.“ Wer die Nachrichten ignoriert, findet sensible Kundendaten später oft im Darknet wieder. Zudem gehe es darum, durch den Chat Zeit zu gewinnen – und sein Gegenüber kennenzulernen.
Oliver Schneider, Geschäftsführer von RiskWorkers„Die Erpressergruppen agieren nach dem Modell McDonald’s. Das sind Franchise-Nehmer, die unter der Flagge der großen Ransomware-Gruppen wie Akira oder Blockbit segeln. Die Menschen am anderen Ende des Chats haben sich dort eingekauft und arbeiten nun auf eigene Rechnung.“ Der Druck auf der Erpresserseite, einen Deal abzuschließen, ist daher unterschiedlich hoch.
Eine Taktik bestehe für den Angegriffenen darin, der Gegenseite zu verstehen zu geben, dass alles nicht so schlimm sei. Manchmal könne man den Angreifer schon mit einem „Köder“ zufriedenstellen. „Für zwei Angreifer in Lagos ist ein Lösegeld-Angebot von 100.000 Dollar sehr viel. Dass sie so etwas pauschal wegschmeißen, ist unwahrscheinlich“.
Ist die Reputation der Hackergruppe entsprechend hoch, könne man sich im Falle eines Deals fast immer darauf verlassen, tatsächlich eine Entschlüsselungssoftware zu bekommen. Denn den Angreifern ist daran gelegen, einen „guten Ruf“ aufrechtzuerhalten, damit ihr Geschäftsmodell auch in Zukunft funktioniert.
***
Unser Geschäftsführer hat mittlerweile bei der Hausbank einen sechsstelligen Betrag in Auftrag gegeben und in Bitcoin umwandeln lassen. Als das Geld bei den Erpressern angekommen ist, bedanken sie sich im Chat mit einem „Sicherheitsbericht“ – einer Liste an Empfehlungen, wie sich das Unternehmen in Zukunft besser schützen kann. Zudem versprechen sie, es nicht noch einmal zu versuchen. Ein Nichtangriffspakt war Teil des erworbenen „Produktpakets“.
Dann gibt die Entschlüsselungssoftware die Daten wieder frei.
Kein Grund zum Durchatmen. Womöglich wartet im Darknet schon das nächste Leck auf einen Käufer.
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke
