Was ist die Silent Ransom Group und wie greift sie Anwaltskanzleien an?

Die Silent Ransom Group (SRG) ist ein Bedrohungsakteur, der sich in Anwaltskanzleien physisch als IT-Personal ausgibt, um Zugang zu Bürogeräten zu erhalten, sensible Daten zu stehlen und die Organisationen anschließend zu erpressen.

Warum sind Anwaltskanzleien für diese Art von Angriff besonders anfällig?

Anwaltskanzleien verfügen über riesige Mengen vertraulicher, privilegierter Mandantendaten und agieren in einer Vertrauenskultur, die das Personal eher dazu veranlasst, jemandem, der als offizieller IT-Vertreter erscheint, Zugang zu gewähren.

Warum können VPNs und Netzwerksegmentierung diese Identitätstäuschungsangriffe nicht verhindern?

Diese Abwehrmaßnahmen verwalten nur den Fernverkehr und die Netzwerkgrenzen; ein Angreifer, der physisch an einem eingeloggten Computer im Büro sitzt, umgeht sie vollständig.

Was tun die Angreifer, nachdem sie die Daten gestohlen haben?

Sie stellen Erpressungsforderungen und drohen, die gestohlenen Informationen zu veröffentlichen oder zu verkaufen, falls keine Zahlung erfolgt.

FBI warnt: Silent Ransom Group gibt sich physisch als IT-Personal in Anwaltskanzleien aus

Q: Wie verschaffen sich die Angreifer physischen Zugang zu den Computern einer Anwaltskanzlei?

Sie recherchieren zunächst das Personal und die IT-Abläufe der Kanzlei, erscheinen dann persönlich vor Ort, geben sich als IT-Techniker oder Support-Dienstleister aus und nutzen Selbstvertrauen und Vertrautheit, um das Personal davon zu überzeugen, ihnen Zugang zu gewähren.

FBI warnt: Silent Ransom Group gibt sich physisch als IT-Personal in Anwaltskanzleien aus

Das FBI hat eine formelle Warnung herausgegeben, dass ein als Silent Ransom Group (SRG) bekannter Bedrohungsakteur Anwaltskanzleien durch eine Kombination aus Social Engineering und physischen Identitätstäuschungsangriffen ins Visier nimmt. Anders als die meisten Cyberangriffe, die von entfernten Standorten ausgehen, erscheinen SRG-Akteure persönlich vor Ort, geben sich als IT-Support-Mitarbeiter aus, verschaffen sich physischen Zugang zu Bürogeräten, stehlen sensible Daten und erpressen anschließend die Organisationen. Für Juristen, die davon ausgehen, dass ihre digitalen Abwehrmaßnahmen ausreichen, ist diese Warnung ein deutlicher Weckruf.

Wie die Silent Ransom Group physischen Zugang zu Kanzleinetzwerken erlangt

Die Vorgehensweise von SRG ist einfach, aber hochwirksam. Die Angreifer führen zunächst eine Aufklärung über die Zielkanzlei durch und identifizieren Personal, Bürostandorte und IT-Abläufe. Anschließend erscheinen sie persönlich im Büro und geben sich als IT-Techniker oder Support-Dienstleister aus. Indem sie Selbstvertrauen und Vertrautheit mit der Umgebung der Kanzlei ausstrahlen, überzeugen sie das Personal, ihnen Zugang zu Computern, Servern oder anderen Netzwerkgeräten zu gewähren.

Sobald sie drinnen sind, extrahiert die Gruppe Daten direkt von den Geräten, auf die sie physisch zugreifen kann. Dies kann Mandantendateien, Falldokumentationen, Finanzunterlagen oder vertrauliche Kommunikation umfassen. Nach der Exfiltration erhalten die Opfer Erpressungsforderungen, wobei mit der Veröffentlichung oder dem Verkauf der gestohlenen Informationen gedroht wird, falls keine Zahlung erfolgt.

Anwaltskanzleien sind in diesem Modell ein besonders attraktives Ziel. Sie verfügen über enorme Mengen sensibler, vertraulicher und oft privilegierter Mandantendaten. Zudem sind sie historisch gesehen Institutionen, die auf Vertrauen und beruflichen Beziehungen aufbauen, was das Personal eher dazu verleitet, jemandem, der in offizieller Funktion erscheint, Zugang zu gewähren.

Warum VPNs und Netzwerksegmentierung niemanden aufhalten, der bereits im Raum ist

Die meisten Diskussionen über Cybersicherheit drehen sich um entfernte Bedrohungen: Phishing-E-Mails, Credential Stuffing, über bösartige Links zugestellte Ransomware. Die typischerweise eingesetzten Werkzeuge – VPNs, Firewalls und Netzwerksegmentierung – sind darauf ausgelegt, zu kontrollieren, welcher Datenverkehr über das Internet in ein System gelangt und es verlässt. Sie sind weitgehend bedeutungslos, wenn ein Angreifer an einem Arbeitsplatz im Gebäude sitzt.

Physische Identitätstäuschungsangriffe, wie sie Gruppen wie SRG auf Kanzleien verüben, umgehen jede Ebene der netzwerkbasierten Verteidigung. Wenn jemandem ein Platz an einem bereits eingeloggten Computer gewährt wird, ist die Multi-Faktor-Authentifizierung bereits überwunden. Wenn sie ein USB-Laufwerk einstecken oder über das lokale Netzwerk auf einen freigegebenen Ordner zugreifen, bedeuten verschlüsselte Tunnel zwischen entfernten Nutzern nichts. Die Netzwerksegmentierung kann laterale Bewegungen in gewissem Maße einschränken, verhindert jedoch nicht den Zugriff auf das, was von dem verwendeten Gerät aus bereits erreichbar ist.

Dies ist das Kernproblem, wenn Cybersicherheit als rein technische Disziplin betrachtet wird. Menschliches Verhalten und physische Umgebungen schaffen Angriffsflächen, die kein Softwareprodukt vollständig abdeckt. Dasselbe Prinzip gilt für Insider-Bedrohungen und die missbräuchliche Nutzung von Zugangsdaten, wie in Fällen zu sehen ist, in denen Zugangskontrollen nicht durch ausgeklügeltes Hacking, sondern durch einfaches menschliches Versagen oder Nachlässigkeit umgangen wurden – ein Muster, das in der Berichterstattung über einen CISA-Auftragnehmer, der AWS-Schlüssel und Passwörter in einem öffentlichen GitHub-Repository offengelegt hat, untersucht wurde.

Zero Trust und physische Sicherheitskontrollen, die dieser Bedrohung tatsächlich entgegenwirken

Zero-Trust-Architektur wird oft im Kontext des Fernzugriffs diskutiert, aber ihr Kernprinzip gilt hier unmittelbar: Gehen Sie niemals davon aus, dass eine Person oder ein Gerät Zugang haben sollte, nur weil sie sich scheinbar am richtigen Ort befindet. Für physische Umgebungen bedeutet dies einige konkrete Praktiken.

Erstens müssen Besucher- und Lieferantenverifizierungsprozesse formalisiert und konsequent durchgesetzt werden. Jede Person, die behauptet, vom IT-Support zu sein, sollte über einen unabhängigen Kanal verifiziert werden, bevor ihr unbeaufsichtigter Zugang zu einem Gerät gewährt wird. Das bedeutet, die IT-Abteilung direkt anzurufen – nicht über eine vom Besucher angegebene Nummer – und zu bestätigen, dass der Besuch eingeplant war.

Zweitens sollten Workstations und Geräte nach jeder Inaktivitätsphase eine erneute Authentifizierung verlangen und idealerweise nicht dauerhaft in sensiblen Systemen eingeloggt bleiben. Physische Portsperren oder USB-Blocker können unautorisierte Datenübertragungen von Geräten verhindern, auf die unbefugt zugegriffen wird.

Drittens ist die Zugriffsprotokollierung auf Geräteebene wichtig. Wenn eine unbefugte Person Zugang erhält, helfen forensische Spuren dabei, zu identifizieren, was entwendet wurde, und den Umfang einer späteren Erpressungsforderung einzugrenzen.

Schließlich muss die Mitarbeiterschulung ausdrücklich physische Social-Engineering-Szenarien behandeln, nicht nur Phishing-E-Mails. Mitarbeiter in Anwaltskanzleien, insbesondere das Empfangspersonal, sollten wissen, dass Höflichkeit und Respekt gegenüber scheinbarer Autorität genau die Eigenschaften sind, die Angreifer ausnutzen.

Was dies für Sie bedeutet: Umsetzbare Schritte für Fachleute in sensiblen Branchen

Wenn Sie im Rechtswesen, Finanzbereich, Gesundheitswesen oder einer anderen Branche arbeiten, die privilegierte oder regulierte Informationen verarbeitet, sollte die SRG-Warnung eine Überprüfung Ihrer digitalen und physischen Sicherheitslage veranlassen. Hier sind die ersten Schritte:

Überprüfen Sie Besucherzugangsprotokolle. Verfügt Ihre Organisation über einen formellen Prozess zur Verifizierung ungeplanter IT-Besuche? Wenn die Antwort nein oder unklar ist, muss diese Lücke umgehend geschlossen werden.
Überprüfen Sie Gerätesperr- und Authentifizierungsrichtlinien. Geräte, die sich nach Inaktivität automatisch sperren und zur Wiederaufnahme eine Authentifizierung erfordern, verringern das Zeitfenster für einen physischen Angreifer erheblich.
Schulen Sie Ihr Personal in physischem Social Engineering. Führen Sie Szenarien mit Ihrem Team durch, in denen sich jemand als Dienstleister oder IT-Auftragnehmer ausgibt. Üben Sie die Gewohnheit, vor der Zugangsgewährung zu verifizieren.
Bewerten Sie Ihr Datenzugriffsmodell. Wenden Sie das Prinzip der geringsten Privilegien an, sodass ein Angreifer selbst bei Kompromittierung eines Arbeitsplatzes nicht auf Daten zugreifen kann, die über das hinausgehen, was dieses spezifische Nutzerkonto normalerweise verarbeitet.
Überprüfen Sie auch Ihre Richtlinien für den Fernzugriff. Physische Sicherheit und digitale Zugangskontrollen wirken zusammen. Wenn man das eine ohne das andere überprüft, bleiben Lücken.

Die FBI-Warnung zur Silent Ransom Group erinnert daran, dass effektive Sicherheit ein dreidimensionales Denken über Bedrohungen erfordert: das Netzwerk, das Gerät und den Raum. Für Fachleute in sensiblen Branchen ist jetzt der richtige Zeitpunkt, zu prüfen, ob Ihre aktuellen Protokolle tatsächlich jemanden aufhalten würden, der zur Vordertür hereinkommt und so aussieht, als gehöre er dorthin.

FBI warnt: Silent Ransom Group gibt sich physisch als IT-Personal in Anwaltskanzleien aus

Wie die Silent Ransom Group physischen Zugang zu Kanzleinetzwerken erlangt

Warum VPNs und Netzwerksegmentierung niemanden aufhalten, der bereits im Raum ist

Zero Trust und physische Sicherheitskontrollen, die dieser Bedrohung tatsächlich entgegenwirken

Was dies für Sie bedeutet: Umsetzbare Schritte für Fachleute in sensiblen Branchen

// FAQ

// Verwandt