Trojaner-Angriff: FBI hielt absichtlich Generalschlüssel zurück

Das FBI hätte für einen der größten IT-Angriffe im vergangen Sommer eine Lösung parat gehabt. Doch aus strategischen Gründen mussten betroffene Firmen sich selbst helfen.

Um kriminelle IT-Angreifer dingfest machen zu können, hielt das FBI wochenlang den Generalschlüssel für einen der gefährlichsten Erpressungs-Trojaner zurück. Hunderte Unternehmen weltweit waren deswegen im Sommer nicht in der Lage, ihre Computersysteme wieder zum Laufen zu bringen und erlitten horrende finanzielle Schäden.

Verantwortlich für die Angriffe war eine Gruppe von Unbekannten, die sich REvil nennt. Sie nahmen Anfang Juli hunderte Unternehmen gleichzeitig ins Visier, indem sie Schwachstellen beim amerikanischen IT-Dienstleister Kaseya ausnutzten. Die 800 bis 1500 Betroffenen waren dort alle Kunde.

Laut einem Bericht der Washington Post besaß das FBI bereits kurz nach der Angriffswelle den Entschlüsselungs-Code. Dennoch veröffentlichten ihn die Kriminalbeamten erst mit einer Verzögerung von rund drei Wochen, nachdem die für die Angriffe verantwortliche Gruppe REvil untergetaucht war – und die betroffenen Unternehmen bereits Millionensummen in die Wiederherstellung ihrer Systeme investiert hatten.

Bewusste Entscheidung

Die Angreifer hatten über eine Sicherheitslücke sogenannte Verschlüsselungstrojaner auf die Computer der Firmen gespielt, diese verschlüsselt und somit unbrauchbar gemacht. Für die Entschlüsselung verlangten sie 70 Millionen US-Dollar in Form von Bitcoins. Unter den Angriffszielen befanden sich unter anderem Schulen und Krankenhäuser, aber beispielsweise auch eine schwedische Supermarktkette. Letztere musste wegen des Angriffs zeitweise rund 700 Filialen bis zu sechs Tage lang schließen und Lebensmittel schlussendlich verschenken. In Deutschland waren dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge ein IT-Dienstleister und mehrere seiner Kunden betroffen.

Der Schlüssel hätte die Probleme der Betroffenen mit einem Schlag lösen können. Das FBI sei in seinen Besitz gekommen, indem es sich Zugriff zu den Servern der vermutlich russischen Angreifer verschafft hatte, berichtet die Washington Post. In Abstimmung mit anderen Bundesbehörden habe sich das FBI aber entschieden, den Code zurückzuhalten. Die Zeitung beruft sich dabei auf die Aussagen von aktiven und ehemaligen US-Beamten.

Am Dienstag erklärte FBI-Direktor Christopher A. Wray vor dem US-Kongress, die Verzögerung sei zum Teil auf die Zusammenarbeit mit Verbündeten und anderen Behörden zurückzuführen. “Wir treffen die Entscheidungen als Gruppe, nicht einseitig”, verteidigte er das Vorgehen seiner Behörde.

Gegenangriff war wichtiger

Der Plan sei gewesen, die Angreifergruppe mittels eines Gegenangriffs zu zerschlagen. Die Behörden hätten aber Sorge gehabt, REvil mit der Veröffentlichung des Generalschlüssels vorzuwarnen. Außerdem habe eine Bewertung der Regierung ergeben, dass der Schaden nicht so groß sei, wie ursprünglich befürchtet.

Bevor die Beamten zuschlagen konnten, verschwand die Gruppierung allerdings Mitte Juli von der Bildfläche. Der geplante Gegenschlag blieb aus. Erst dann gab das FBI die Lösung an Kaseya weiter. Ein beauftragtes Sicherheitsunternehmen habe innerhalb von zehn Minuten daraus ein Entschlüsselungswerkzeug erstellt und es am darauf folgenden Tag Kaseya-Kunden zur Verfügung gestellt. Viele der Betroffenen hatten zu diesem Zeitpunkt schon auf anderen (kostspieligen) Wegen mit der Wiederherstellung ihrer Systeme begonnen. (hcz)