Die Strafe folgt prompt. Dabei hatte die E-Mail eigentlich ganz normal ausgesehen. Ein Online-Shop sendet eine Bestellbestätigung. Der kurze Kontrollblick auf den Anhang aktiviert im Hintergrund einen Downloader, der wiederum eine Software nachlädt. Mehr ist gar nicht nötig.

„All your important files are encrypted“, steht dann plötzlich auf dem Bildschirm. Alle wichtigen Dateien sind verschlüsselt. Nicht mehr lesbar. Im Grunde verloren. Doch TeslaCrypt 3, die Schadsoftware hinter der Attacke, bietet eine einfache Lösung an: eine Einheit der Kryptowährung Bitcoin – nach aktuellem Kurs gut 400 Dollar.

Die Lösegeld-Forderung ist durchaus ernst zu nehmen, denn die Schadsoftware gehört zu einer neuen Kategorie von Krypto-Trojanern, die nur ein Ziel haben: Sie durchsuchen die Festplatte ihrer Opfer nach den privaten Dateien der Nutzer und wandeln so viele wie möglich davon in ein neues verschlüsseltes Dateiformat um.

Nichts ist vor den Hackern sicher

Dann löschen sie alle Originale. Neuere Varianten dieser Ransomware, eine Wortmischung aus dem englischen Wort „ransom“ (Lösegeld) und „software“, gehen noch weiter. Sie suchen auch gleich nach Backups und löschen diese Sicherungskopien ebenfalls. Vor der Verschlüsselung ist nichts sicher, auch auf Netzwerkspeichern und eingebundenen Cloud-Diensten treibt die Software ihr Unwesen.

Sicherheitsexperten schlagen Alarm. „Seit Mitte September 2015 hat sich die Bedrohungslage durch Ransomware deutlich verschärft“, heißt es beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Seit Dezember beobachtet die Behörde Spam-Wellen, über die massenhaft Ransomware verteilt werden.

Anzeige
Derzeit schlagen Virenschutzprogramme beim Aufspüren von Ransomware zehnmal häufiger Alarm als noch im Oktober 2015. Doch die Zahl ist nur bedingt aussagefähig. Denn oft lässt sich Ransomware von den Schutzprogrammen gar nicht erst aufspüren. Die Schadprogramme kommen über altbekannte Wege auf die Computer ihrer Opfer. Meist sind es E-Mails mit Rechnungen, Bestellbestätigungen oder Paketempfangsbestätigungen. Oft kommen die Mails von vermeintlich vertrauenswürdigen Sendern, weil sich die Schadprogramme über die Adressbücher ihrer Opfer-Computer selbst weiterverschicken.

Schädlinge verstecken sich auf Webseiten

Doch es gibt auch andere Möglichkeiten einer Infektion, die von Experten „Drive-by-Exploits“ genannt werden. Dabei reicht es schon, mit einem Internet-Browser eine infizierte Webseite aufzurufen, wo sich die Schädlinge in Werbebannern verstecken können.

Erpressungs-Trojaner sind keine neue Erfindung, die ersten Varianten tauchten bereits in den späten 90er-Jahren auf. Damals waren es einfache Sperrbildschirme, die Nutzer in Schrecken versetzten. Verbesserte Versionen folgten ab 2005. Frühe symmetrische Dateiverschlüsselungen konnten von spezieller Antivirus-Software noch einfach geknackt werden. Doch mittlerweile haben Hackergruppen ihre Software so weit perfektioniert, dass sie damit tatsächlich Geld verdienen können.

Aktuelle Trojaner wie TeslaCrypt 3 arbeiten mit so starker Verschlüsselung, dass bislang kein digitales Antidot zur Entschlüsselung der Nutzer-Datenschätze existiert. Damit bleiben dem Nutzer nach dem Angriff nur zwei Möglichkeiten: Entweder er zahlt und hofft, dass die Hacker dann auch tatsächlich den passenden Schlüssel schicken. Oder er hat auf einer externen Festplatte ein Backup, das noch unberührt ist. Laut BSI-Empfehlung ist das die einzige sichere Abwehr gegen Krypto-Trojaner.

Aktuell größte Bedrohung für Nutzer

Viele Opfer entscheiden sich, das Lösegeld zu bezahlen. Oft bekommen sie dann tatsächlich ihre Daten zurück. Denn nur so bleibt das Geschäft am Laufen. Offenbar sind die Erpressungen so lukrativ, dass Hacker für ihre Angriffe inzwischen Botnetze nutzen, über die bisher Banking-Trojaner verteilt wurden, wie das BSI beobachtet hat. Botnetze bestehen aus infizierten Computern, die ohne Wissen ihrer Besitzer zum Verteilen von Schadsoftware oder Spam missbraucht werden. Eine Rückverfolgung zu den Urhebern wird dadurch erschwert.

Anzeige
Laut Einschätzung von Cyber-Sicherheitsexperten ist Ransomware die aktuell größte Bedrohung für private Nutzer, da die Hacker mittlerweile ihr Produkt in allen Aspekten perfektioniert haben: Die Verschlüsselung funktioniert, mit der Kryptowährung Bitcoin existiert ein aus Sicht der Hacker sicherer Weg zur Geldübergabe, und die Software löscht alle in ihrer Reichweite befindlichen Backups. Selbst bereits gelöschte Schattendateien, die vielleicht zur Wiederherstellung Mittlerweile existieren zudem Programmier-Baukästen, mit denen die Hacker immer neue Varianten der Software an den Virenscannern vorbeischleusen.

„Die Täter haben gelernt, dass private Nutzer mittlerweile tatsächlich zahlen, um ihre Daten wiederzubekommen“, sagt Kevin Mahaffey, Gründer der IT-Sicherheitsfirma Lookout. „Die privaten Daten haben heute einen viel größeren Wert für den Nutzer als noch vor zehn Jahren. Die Bilder von den ersten Schritten des Kindes, die Kontoauszüge der letzten Jahre, die E-Mail-Korrespondenz – alles liegt auf der Festplatte der Nutzer und ist angreifbar.“

Arbeitsteilung in der Untergrundökonomie

Die Täter betreiben mittlerweile professionelle Arbeitsteilung, erklärt Mahaffey. „Einige haben sich auf das Programmieren der Erpresser-Software spezialisiert und verkaufen Baukästen. Andere liefern E-Mail-Adressen zahlungswilliger Opfer, wieder andere verbreiten die Software über infizierte Spam-Mails. Und schließlich gibt es solche, die das Geld einsammeln.“ Diese Arbeitsteilung in der Untergrundökonomie erschwert auch Ermittlern ihre Arbeit.

Mittlerweile sind jedoch nicht mehr nur Privatnutzer im Visier der Erpresser: Krankenhäuser in Nordrhein-Westfalen sind ebenso betroffen wie mittelständische Firmen oder die Rechner diverser Gemeindeverwaltungen.

Anfang Februar erwischte es die Rechner der Stadtverwaltung von Dettelbach in Unterfranken. Nach einigem Überlegen fügte sich Bürgermeisterin Christine Konrad den Forderungen der Täter und zahlte umgerechnet knapp 500 Euro, um wieder an ihre Daten zu gelangen. Damit kam sie noch günstig weg: Ein Krankenhaus in Los Angeles zahlte im Februar 17.000 Dollar, um wieder Zugriff auf seine Patientendaten zu bekommen.

Bild: Namensnennung Bestimmte Rechte vorbehalten von Mr. Cacahuate

Seite 1 von 2