CyberkriminalitätRansomwareDatenschutz

Insider-Bedrohung mit Konsequenzen: Zwei Cybersecurity-Experten wegen Ransomware-Erpressungen verurteilt

Von CyberDeutsch Redaktion
Insider-Bedrohung mit Konsequenzen: Zwei Cybersecurity-Experten wegen Ransomware-Erpressungen verurteilt
Zusammenfassung

Ein beispielloses Strafurteil in den USA wirft ein beunruhigendes Licht auf die Sicherheitsrisiken innerhalb der Cybersicherheitsbranche selbst: Zwei hochrangige Mitarbeiter von angesehenen Incident-Response-Firmen wurden zu vier Jahren Freiheitsstrafe verurteilt, weil sie ihre privilegierten Positionen missbrauchten, um Ransomware-Anschläge durchzuführen. Ryan Goldberg von der Firma Sygnia und Kevin Martin, ein Ransomware-Verhandler bei DigitalMint, arbeiteten zwischen April und Dezember 2023 mit einem dritten Verschwörer zusammen, um mit der ALPHV/BlackCat-Malware gezielt Unternehmen zu erpressen und dabei Millionen zu erbeuten. Das Vorgehen ist besonders gravierend, weil die Täter als vertrauenswürdige Cybersecurity-Experten tätig waren und damit Zugang zu vertraulichen Informationen ihrer Opfer hatten. Der Fall verdeutlicht ein kritisches Sicherheitsrisiko für deutsche und internationale Unternehmen: Die Gefahr von innen heraus durch kompromittierte Sicherheitsexperten. Für deutsche Organisationen, die auf externe Incident-Response-Dienstleistungen angewiesen sind, unterstreicht dies die Notwendigkeit strenger Kontrollen, Überwachungsmechanismen und kontinuierlicher Überprüfung ihrer Cybersecurity-Partner.

Die Ermittlungen führten die US-amerikanischen Behörden über zehn Länder, da Goldberg nach der Tat ins Ausland flüchtete. Zusammen mit einem dritten Verschwörer, Angelo Martino, orchestrierten die drei Männer mehrere Ransomware-Anschläge. Zwar waren sie nur bei einem Angriff erfolgreich, erbeuteten dann aber immerhin 1,2 Millionen Dollar. Ein besonders besorgniserregender Aspekt: Ein Opfer war eine Arztpraxis, deren Patientendaten von den Tätern öffentlich gemacht wurden – ein gravierender Verstoß gegen Datenschutzbestimmungen, wie sie auch in Deutschland gelten würden.

Angelo Martino fiel durch sein noch raffinierteres Vorgehen auf. Der 36-Jährige war nicht nur an den Anschlägen beteiligt, sondern fungierte gleichzeitig als Ransomware-Verhandler im Dienst von DigitalMint. In dieser Position spielte er eine doppelte Rolle: Während er vermeintlich Lösegeldverhandlungen im Namen von Opfern führte, verkaufte er Informationen an Ransomware-Gangs und half ihnen, höhere Summen zu erpressen. Martino informierte die Cyberkriminellen sogar über die Versicherungslimits seiner Opfer – was die Erpresser zu höheren Forderungen ermutigte. Einige der von ihm “verhandelten” Lösegelder erreichten bis zu 26 Millionen Dollar. Law Enforcement beschlagnahmte etwa zehn Millionen Dollar an Vermögenswerten von Martino; bei seiner anstehenden Verurteilung im Juli drohen ihm bis zu 20 Jahre Haft.

Die Fälle unterstreichen eine alarmierende Trend: Der Missbrauch von Vertrauenspositionen in der Cybersecurity-Branche. Die USA verhängte harte Urteile, um ein Signal zu setzen. In Deutschland könnten solche Fälle unter das Strafgesetzbuch fallen – etwa unter Erpressung (§ 253 StGB) oder Datendiebstahl (§ 202 StGB). Das BSI warnt Unternehmen regelmäßig vor Insider-Bedrohungen und empfiehlt Segregation von Aufgaben, Logging aller Aktivitäten und regelmäßige Überprüfungen.

Als unmittelbare Reaktion führte DigitalMint neue Kontrollmechanismen ein: Alle Verhandlungen erfolgen künftig über revisionierbare Cloud-Plattformen, ein Firmengründer überwacht persönlich alle Vorgänge, und die Namen aller Verhandler werden dem Department of Homeland Security gemeldet. Solche Maßnahmen sollten als Best Practice auch deutsche Unternehmen inspirieren, die mit sensiblen Klientendaten arbeiten.

Ähnliche Artikel