Hive, LockBit & Co: Was hinter den Erfolgen der Cybercrime-Jäger steckt

WirtschaftsWoche: Herr McArdle, Ihr Arbeitgeber, das Cybersicherheitsunternehmen Trend Micro war jüngst daran beteiligt, die Plattform LockBit lahmzulegen, die hinter einer Software steckte, mit der unter anderem Continental und Boeing attackiert wurden. Ist die Hackergruppe damit besiegt?
Robert McArdle: Schon kurz nach dem Schlag haben sich die Hacker im Netz zurückgemeldet und angekündigt, ihre Plattform sei weiterhin intakt und sie würden nun umso vehementer unter anderem die Ermittlungsbehörden selbst attackieren. Gut einen Monat später zeichnet sich ab: Das war vor allem PR-Getöse. Abgesehen von einigen wenigen, kleineren Auftritten der LockBit-Schadsoftware ist die Plattform weitestgehend inaktiv.

Die wesentlichen Seiten im Darknet, über die LockBit mit seinen Kunden kommuniziert hatte, die gegen eine Gebühr oder einen Erlösbeteiligung die Schadsoftware von LockBit nutzen konnten, sind unter der Kontrolle der Ermittler. Aber ist auch die Software selbst entschärft?
Wir hatten kurz vor dem Schlag gegen die Kriminellen eine neue Version der LockBit-Software entdeckt und detailliert analysiert. Von der wussten wir, bereits vor ihrem Erscheinen, wie sie funktioniert und, wie sie zu entschärfen wäre. Und zudem haben die Ermittler Zugriff auf den Entschlüsselungsmechanismus älterer Programmversionen bekommen und können nun LockBit-Opfern selbst Entsperrcodes erzeugen. Das beschädigt das Geschäftsmodell der Kriminellen noch zusätzlich.

Wie erklären Sie sich angesichts dessen das vorgebliche Muskelspiel der Hacker und deren Drohungen?
Im Grunde imitieren die Kriminellen damit eine Taktik, die wir sonst bei ihren Opfern sehen.

Welche?
Das ist klassische Krisen-PR, sehr schnell nach einem Angriff Handlungsfähigkeit zu zeigen, um Kunden oder Aktionäre zu beruhigen und zu versichern, dass die Geschäftsbeziehung trotz einer kleinen Störung unverändert weiter bestehen bleiben kann. Denn genau darum geht es ja bei den Anbietern von Erpressungsplattformen auch: Geschäftsbeziehungen aufrecht zu erhalten. Insofern war die Störung der LockBit-Plattform vom Februar eigentlich ein Doppelschlag: Einmal gegen die technische Infrastruktur, und einmal gegen die kriminelle Reputation und das Geschäftsmodell der Hacker. Und beides offenbar erfolgreich.

Inwiefern?
Im Darknet wird unter anderem heftig diskutiert, ob LockBit überhaupt noch ein vertrauenswürdiger „Partner in Crime“ sei. In der Szene kursieren sogar Gerüchte, angeblich steckten hinter der Plattform womöglich sogar die Ermittlungsbehörden selbst.

Ähnlich wie beim vermeintlich abhörsicheren Messenger Anom, der intensiv von Kriminellen genutzt, in Wahrheit aber unter anderem vom FBI betrieben wurde?
Das ist sicher ein Szenario, an das manche „Kunden“ von LockBit denken und auch deshalb bei der Frage, wessen Erpressungssoftware sie künftig nutzen, nun eher zur Konkurrenz wechseln. Auch daher war der Schlag vom Februar ein besonders gelungener für die Ermittler.

Aber im Grunde ist das ein Nullsummenspiel, wenn die Erpresser im Netz künftig statt LockBit einfach nur die Schadprogramme anderer krimineller Dienstleister nutzen, oder?
So einfach ist das nicht. Natürlich ist es so, dass auch in der Vergangenheit immer wieder neue Akteure aufgetreten sind, wenn die Ermittler einen Platzhirsch stillgelegt haben. Aber zugleich sorgt jeder Schlag gegen die Kriminellen für neue Verunsicherung. Erst recht, wenn es – wie zuletzt häufiger passiert – gelingt, nicht bloß Infrastruktur im Westen lahmzulegen, sondern auch in Ländern zu infiltrieren, in denen sich die Hacker sonst vor westlicher Strafverfolgung sicher fühlen.

Etwa in Russland, China oder Nordkorea?
Ja, beispielsweise dort. Da haben westliche Ermittler im Normalfall keine Zugriffsmöglichkeiten und eine Kooperation mit den dortigen Behörden gibt es auch nicht. Aber wenn es Spezialisten aus dem Westen gelingt, auch dort in die kriminellen Rechnersysteme einzudringen, dann erschüttert das die Szene. Und wenn es den Ermittlern dann auch noch gelingt, Protagonisten zu identifizieren oder deren Kommunikation mit anderen Kriminellen auszuspähen, dann sind diese in der Szene auch persönlich „verbrannt“ und haben es deutlich schwerer als in der Vergangenheit, ihre Geschäfte unter einem neuen Namen fortzuführen.

LockBit war nur der jüngste große Schlag gegen die organisierte Kriminalität im Netz. Zuvor hatten Ermittlungsbehörden aus der EU, Großbritannien, den USA oder anderen Staaten unter anderem die Hackernetzwerke Qakbot, Hive oder Emotet lahmgelegt oder zumindest nachhaltig geschwächt.
Das ist in der Tat auffällig und auch das sorgt in der Hackerszene für Verunsicherung, selbst wenn nicht alle Plattformen vollständig oder dauerhaft verschwunden sind. Aber selbst, wer anschließend noch mal wiederkehrt, ist meist nur noch ein Schatten der einstigen Bedeutung im Darknet.

Woher kommt die Häufung erfolgreicher Maßnahmen der Strafverfolger in letzter Zeit?
Sie sind das Ergebnis einer in verschiedener Hinsicht neuen Strategie der Ermittler, die sich in den vergangenen drei bis fünf Jahren etabliert hat. Zum einen arbeiten die jeweiligen nationalen Behörden inzwischen wesentlich enger und intensiver zusammen. Dieses Bündeln von Kompetenzen und das Tempo sind essenziell, wenn sich kurzfristig Chancen bieten, Hackerplattformen hochzunehmen.

Was ist der zweite Aspekt?
Dass Behörden und Fachleute aus der Privatwirtschaft inzwischen ebenfalls sehr viel enger zusammenarbeiten. Bei fast allen großen und erfolgreichen Schlägen gegen Cyberkriminelle waren in den vergangenen Monaten Experten von uns oder vergleichbaren kommerziellen Spezialdienstleistern involviert.

Wie bereitwillig haben sich die Behörden darauf eingelassen?
Inzwischen ist das etabliert. Und – der erfolgreiche Schlag gegen LockBit zeigt das erneut – die Zusammenarbeit lohnt sich.

Lesen Sie auch: Schützen Sie sich vor diesen neusten Hacking-Trends