Im ersten Moment scheint alles verloren. Wird ein Unternehmen gehackt, werden Daten verschlüsselt oder gleich der gesamte Betrieb lahmgelegt, steht in den meisten Fällen eine Lösegeldforderung im Raum. Und die Hacker verlangen in der Regel nicht Euro oder Dollar, sondern Kryptowährungen wie den Bitcoin.
Es wird also kein Umschlag mit vielen Geldscheinen an irgendeinem Ort zur anonymen Übergabe platziert. Stattdessen wird das Lösegeld virtuell gezahlt, über die Blockchain, ein dezentrales Datenprotokoll, an das virtuelle Portemonnaie („Wallet“) der Hacker. Ist es damit unwiederbringlich verschwunden?
Nicht zwingend. Der Vorteil der Blockchain: theoretisch kann dort jeder verfolgen, wohin sich die gezahlten Löse-Bitcoin bewegen. Aber damit das gezahlte Lösegeld doch wieder auftaucht, braucht es meistens spezielle Kryptofahnder. In der Welt des virtuellen Geldes heißen diese Jäger der verlorenen Coins oft Tracer.
Einer von ihnen ist der Österreicher Max Bernt. Eigentlich hat er internationales Strafrecht studiert, sich dann aber schnell auf Geldwäsche im Kryptobereich spezialisiert. Mittlerweile ist Bernt Chefjustiziar beim Kryptounternehmen Blockpit und damit vor allem für den Austausch mit den Ermittlungsbehörden zuständig. Denn das österreichische Startup hat eine Software entwickelt, mit der sich erhackte Bitcoin nachverfolgen lassen in der Blockchain, auf der die Kryptowährung basiert. Bernt erklärt, wie das funktioniert: Fordern Erpresser Bitcoin als Lösegeld, müssen sie auch eine Walletadresse angeben, an das das erpresste Unternehmen die Bitcoin zahlt.
„Diese Walletadresse nehmen wir sodann umgehend in unsere 'Blacklist' auf“, sagt Kryptoverfolger Bernt. „Ähnlich wie bei markierten Geldscheinen, können dann auch alle über diese Wallet transferierten Coins als 'kontaminiert' erkannt und dementsprechend behandelt werden.“ „Tainted“ heißen diese Coins dann im Fachjargon, behaftet.
Im Laufe der Zeit lernt die Software und erkennt immer mehr betrügerische Wallets, Coins und die Kryptobörsen, an denen diese gehandelt werden. Da die Blockchain für alle ihre Nutzer einsehbar ist, können Experten wie Bernt die erbeuteten Coins dann auf ihrem Weg durch das Datennetz verfolgen – und im Erfolgsfall, auch zusammen mit Behörden, sogar wiedererlangen.
In einigen Fällen ist das schon gelungen. Zum Beispiel nach dem Hackerangriff auf den amerikanischen Pipelinebetreiber Colonial. Hier schaffte es das FBI, einen Großteil der gezahlten Kryptocoins zurückzuerlangen.
Lesen Sie hier, wie das FBI die erpressten Coins wieder zurückholte.
Für die betroffenen Unternehmen lohnt sich der Einsatz eines Kryptofahnders oft. Aktuell seien es bis zu 50 Bitcoin, die bei solchen Angriffen erpresst würden, sagt Bernt. „Das kommt darauf an, wer gehackt wird.“ Meistens würden die Beträge aber eher gering gehalten, damit Unternehmen angehalten sind, schnell zu bezahlen, um einen öffentlichen Reputationsverlust zu vermeiden.
Dennoch, umgerechnet sind das aktuell bis zu 2,1 Millionen Dollar Lösegeld, die gefordert werden. „In rund 95 Prozent der Fälle soll in Bitcoin bezahlt werden“, sagt Bernt. Andere Kryptowährungen wie etwa der Privacy Coin Monero sind zwar für Kryptotracer auch schwieriger zu verfolgen, aber für Unternehmen auch nicht so einfach zu beschaffen wie Bitcoin. „Gerade mittelständische Unternehmen sind Kryptolaien“, sagt Bernt. Viele wüssten überhaupt nicht, was sie tun sollen, wenn nach einem Angriff so eine Lösegeldforderung bei ihnen eingeht. „Da herrscht dann Panik.“
Auch die deutschen Behörden, die Landeskriminalämter und das Bundeskriminalamt (BKA) markieren schmutzige Coins als betrügerisch. Allerdings, weiß Bernt, arbeiten nicht alle mit der gleichen Software. Das am meisten verbreitete Programm zum Aufspüren von betrügerischen Coins ist das vom amerikanischen Kryptoanalysedienst Chainalysis. Allerdings ist die Software mit zehntausenden Euro an Gebühr pro Zugang recht teuer. Das leistet sich nicht jede Regionalbehörde, oft müsse dann Amtshilfe beantragt werden. Das wiederum verzögert die Prozesse.
Trotzdem hat Chainalysis branchenweit wohl den besten Überblick darüber, wie sich die Zahl der gehackten Kryptocoins weltweit entwickelt. „Wir sehen weiterhin viele Attacken“, sagt Gurvais Grigg, der für Chainalysis die Zusammenarbeit mit den internationalen Ermittlungsbehörden steuert. Gerade der Mittelstand sei stark betroffen. „Ideal sind Firmen, die groß genug sind, um viel Geld zu zahlen, aber so klein, dass sie keine Cyberabwehr-Abteilung haben“, sagt Grigg. Nach solchen Unternehmen suchten die Erpresser. Ähnlich wie Bernt glaubt auch Grigg, dass viele der erpressten Unternehmen das geforderte Kryptogeld auch zahlen – oft begleitet von den Ermittlungsbehörden.
Für die Unternehmen sind das hohe Verluste, die sie tragen müssen. Für die Kryptoverfolger dagegen sind die Geschäftsaussichten angesichts der zunehmenden Zahl an Hackerangriffen mehr als rosig.
Mehr zum Thema: Der deutsche Mittelstand gerät ins Visier einer boomenden Hackerindustrie – mit fatalen Folgen, wie Schadensprotokolle betroffener Unternehmer zeigen.
