Hacker nehmen Globalen Süden ins Visier
28. August 2022
Sie brauchten nur wenige Wochen, um Costa Rica ins Chaos zu stürzen: Im April brachten Hacker zunächst das Computersystem des Finanzministeriums unter ihre Kontrolle und verlangten Lösegeld in Millionenhöhe. Doch die Behörden weigerten sich zu zahlen. In den Wochen darauf schlugen die Angreifer zurück.
Nach und nach drangen die Cyberkriminellen in die Netzwerke von fast 30 weiteren Regierungsbehörden ein. Im ganzen Land spürten Menschen die Folgen: Ein elektronisches Steuererhebungssystem fror ein. Löhne wurden verspätet ausgezahlt. Exportgüter, darunter verderbliche Waren wie Obst, blieben im Zoll hängen.
Anfang Mai war die Lage so ernst, dass Costa Ricas neuer Präsident den nationalen Notstand ausrief. Es war das erste Mal in der Geschichte, dass ein Land diesen Schritt wegen eines Cybervorfalls ging.
Seitdem haben die Behörden viele ihrer Dienste wiederhergestellt. Doch mehr als vier Monate nach dem ersten Angriff sind immer noch nicht alle Schäden behoben.
"Das hat gezeigt, wie verwundbar wir für Cyberangriffe geworden sind - nicht nur unsere Regierung oder unsere Unternehmen, sondern unsere ganze Gesellschaft", sagt Diego González, Leiter der Abteilung für Cybersicherheit bei Costa Ricas IT-Handelskammer Camtic.
Im Visier von Hackern: Lateinamerika, Südasien und Afrika
González' Heimatland ist das wohl krasseste Beispiel dafür, was Cybersicherheits-Forscher und Branchenkenner in sieben Interviews mit der DW als besorgniserregenden Trend beschreiben: Cyber-Kriminelle nehmen immer öfter Regierungsbehörden und öffentliche Einrichtungen in Schwellen- und Entwicklungsländern im globalen Süden ins Visier.
Diesen Monat legten Hacker das Gerichtssystem der argentinischen Stadt Córdoba lahm. Im Juli drangen Angreifer ins Flutüberwachungssystem des indischen Bundesstaats Goa ein. Zuvor waren im Mai Cyberkriminelle ins Netzwerk von Sambias Zentralbank eingebrochen.
"Die Zahl von Ransomware-Opfern im Global Süden nimmt zu, daran besteht kein Zweifel", sagt Anna Chung von der Cybersicherheits-Firma Palo Alto Networks. So habe ihre Firma jüngst beispielsweise ein Häufung von Ransomware-Angriffen in Lateinamerika bemerkt.
Andere Forscher äußeren ähnliche Warnungen für Regionen in Asien und Afrika. Allan Liska vom Unternehmen Recorded Future spricht von einem Anstieg von Angriffen in Südasien. Ziele seien oft "Regierungsbehörden und größere Organisationen".
Ähnliches gelte für Länder in Afrika, so Joey Jansen van Vuuren, die das Institut für Computerwissenschaften der Tshwane Universität in Johannesburg leitet: "In ganz Afrika sind Ransomware-Angriffe mittlerweile zur größten Cyberbedrohung für Regierungen und Unternehmen geworden", sagt van Vuuren.
Viele beugen sich den Cyber-Erpressungen
Im Kern folgen Ransomware-Angriffe meist demselben kriminellen Prinzip: Zunächst verschaffen sich Angreifer Zugang zu einem Computernetzwerk. Einmal im Inneren verbringen sie Wochen oder sogar Monate damit, das Netzwerk auszuspionieren. Sobald sie auf Informationen stoßen, die ihnen wertvoll genug erscheinen, dass Menschen Geld dafür bezahlen würden, verschlüsseln sie die Dateien und senden eine Lösegeldforderung.
Ihren Opfern bleiben zwei Optionen: Sie können sich weigern, auf den Deal mit den Verbrechern einzugehen und versuchen, ihr System mit Hilfe von Backups selbst wiederherzustellen. Oder sie zahlen - und hoffen, dass die Kriminellen ihr Wort halten und die Daten zurückgeben.
Fälle wie in Costa Rica, in denen Opfer öffentlich Widerstand leisten, machen oft Schlagzeilen. Aber sie sind nur die Spitze des Eisbergs, warnen Experten: Die meisten Fälle, in denen Opfer auf die kriminellen Angebote eingehen, blieben im Dunkeln - und in einigen Regionen des Globalen Südens sei es inzwischen gängige Praxis geworden zu zahlen.
"Oft nehmen Organisationen das mittlerweile als gegeben hin - sie haben sogar Posten dafür in ihren Etats, weil sie davon ausgehen, dass sie wahrscheinlich irgendwann Lösegeld zahlen müssen", sagt Charlette Donalds, Lehrbeauftragte an der University of the West Indies at Mona in Jamaikas Hauptstadt Kingston und Autorin eines Buches über Cyberkriminalität im globalen Süden.
Überall in der Karibik nehmen Ransomware-Angriffe zu, sagt Donalds. So sind die Steuerbehörden mehrerer Länder in der Region laut Handelsorganisation Caribbean Council schon Opfer krimineller Gruppen geworden.
Dabei, so ihre Co-Autorin Corlane Barclay, fänden Hacker oft leichte Beute. "Lange Zeit dachten Regierungen hier, weil wir klein sind und die Angreifer international agieren, würden sie sich auf lukrativere Opfer konzentrieren", sagt Barclay. Auch deshalb hätten viele Regierungen und Organisation - während sie im Laufe der letzten Jahre ihre Infrastruktur digitalisiert haben - nur wenig in Maßnahmen für mehr Cybersicherheit investiert.
Dasselbe Phänomen sei im gesamten Globalen Süden zu beobachten, so Allan Liska von Recorded Future. Auch deshalb seien die Regionen attraktiv für Kriminelle geworden: "Die Angreifer wissen, dass sie dort Systeme finden, die relativ leicht zu knacken sind", sagt er.
"Wir leben in einem Zeitalter der Cyberangriffe"
Wie also können sich Länder des Globalen Südens besser gegen Ransomware-Angriffe schützen?
Forschende sind sich einig, dass Regierungen stärker in die Cybersicherheits-Architektur ihrer Länder sowie die Ausbildung einer neuen Generation an Fachkräften investieren müssten. Länder sollten, sofern noch nicht vorhanden, Cybersicherheits-Gesetze erlassen, die Unternehmen und öffentliche Einrichtungen zwingen, ihre Systeme vor Angriffen zu schützen. Und Regierungen sollten noch mehr auf internationale Zusammenarbeit setzen, wie beispielsweise im Rahmen einer neuen "Anti-Ransomware-Initiative", die letzten Herbst von der US-Regierung ins Leben gerufen wurde. Sieben von 30 teilnehmenden Länder befinden sich im Globalen Süden.
Vor allem jedoch müssten Regierungen ein Bewusstsein für Cybersicherheit in ihren Ländern schärfen. Denn, so sind sich Experten einig, die Bedrohung durch Ransomware wird in den kommenden Jahren weiter zunehmen.
Das wurde einmal mehr durch die Ereignisse in Costa Rica deutlich: Einen Monat nachdem das Land den nationalen Notstand ausgerufen hatte, gelang es einer anderen Gruppe Cyberkrimineller, Kontrolle über das IT-System der öffentlichen Gesundheitsverwaltung zu erlangen. Tausende von Patienten verpassten im Anschluss ihre Arzttermine.
"In dem Moment wurde den Menschen hier klar, dass diese Angriffe auch unsere Familien betreffen, unsere Kinder", sagt Cybersecurity-Unternehmer González. Er hofft, dass diese Erfahrungen politische Entscheidungsträger dazu veranlassen, langfristig in Cybersicherheit zu investieren.
Gleichzeitig sagen Experten, das Land habe Glück im Unglück gehabt: Conti, die kriminelle Gruppe hinter den ersten Ransomware-Angriffen auf Costa Rica, soll sich wegen interner Uneinigkeiten über Russlands Eroberungskrieg in der Ukraine mittlerweile aufgelöst haben. So konnte Costa Rica viele seiner Systeme mittlerweile neu aufsetzen.
Aber González ist überzeugt, dass das, was in seinem Heimatland passiert ist, jederzeit anderswo wieder passieren könnte: "Wir leben in einem Zeitalter der Cyberangriffe", sagt er, "das ist erst der Anfang."