Die Strafe folgt prompt. Dabei hatte die E-Mail eigentlich ganz normal ausgesehen. Ein Online-Shop sendet eine Bestellbestätigung. Der kurze Kontrollblick auf den Anhang aktiviert im Hintergrund einen Downloader, der wiederum eine Software nachlädt. Mehr ist gar nicht nötig.
„All your important files are encrypted“, steht dann plötzlich auf dem Bildschirm. Alle wichtigen Dateien sind verschlüsselt. Nicht mehr lesbar. Im Grunde verloren. Doch TeslaCrypt 3, die Schadsoftware hinter der Attacke, bietet eine einfache Lösung an: eine Einheit der Kryptowährung Bitcoin – nach aktuellem Kurs gut 400 Dollar.
Die Lösegeld-Forderung ist durchaus ernst zu nehmen, denn die Schadsoftware gehört zu einer neuen Kategorie von Krypto-Trojanern, die nur ein Ziel haben: Sie durchsuchen die Festplatte ihrer Opfer nach den privaten Dateien der Nutzer und wandeln so viele wie möglich davon in ein neues verschlüsseltes Dateiformat um.
Nichts ist vor den Hackern sicher
Dann löschen sie alle Originale. Neuere Varianten dieser Ransomware, eine Wortmischung aus dem englischen Wort „ransom“ (Lösegeld) und „software“, gehen noch weiter. Sie suchen auch gleich nach Backups und löschen diese Sicherungskopien ebenfalls. Vor der Verschlüsselung ist nichts sicher, auch auf Netzwerkspeichern und eingebundenen Cloud-Diensten treibt die Software ihr Unwesen.
Sicherheitsexperten schlagen Alarm. „Seit Mitte September 2015 hat sich die Bedrohungslage durch Ransomware deutlich verschärft“, heißt es beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Seit Dezember beobachtet die Behörde Spam-Wellen, über die massenhaft Ransomware verteilt werden.
Derzeit schlagen Virenschutzprogramme beim Aufspüren von Ransomware zehnmal häufiger Alarm als noch im Oktober 2015. Doch die Zahl ist nur bedingt aussagefähig. Denn oft lässt sich Ransomware von den Schutzprogrammen gar nicht erst aufspüren. Die Schadprogramme kommen über altbekannte Wege auf die Computer ihrer Opfer. Meist sind es E-Mails mit Rechnungen, Bestellbestätigungen oder Paketempfangsbestätigungen. Oft kommen die Mails von vermeintlich vertrauenswürdigen Sendern, weil sich die Schadprogramme über die Adressbücher ihrer Opfer-Computer selbst weiterverschicken.
Schädlinge verstecken sich auf Webseiten
Doch es gibt auch andere Möglichkeiten einer Infektion, die von Experten „Drive-by-Exploits“ genannt werden. Dabei reicht es schon, mit einem Internet-Browser eine infizierte Webseite aufzurufen, wo sich die Schädlinge in Werbebannern verstecken können.
Erpressungs-Trojaner sind keine neue Erfindung, die ersten Varianten tauchten bereits in den späten 90er-Jahren auf. Damals waren es einfache Sperrbildschirme, die Nutzer in Schrecken versetzten. Verbesserte Versionen folgten ab 2005. Frühe symmetrische Dateiverschlüsselungen konnten von spezieller Antivirus-Software noch einfach geknackt werden. Doch mittlerweile haben Hackergruppen ihre Software so weit perfektioniert, dass sie damit tatsächlich Geld verdienen können.
Aktuelle Trojaner wie TeslaCrypt 3 arbeiten mit so starker Verschlüsselung, dass bislang kein digitales Antidot zur Entschlüsselung der Nutzer-Datenschätze existiert. Damit bleiben dem Nutzer nach dem Angriff nur zwei Möglichkeiten: Entweder er zahlt und hofft, dass die Hacker dann auch tatsächlich den passenden Schlüssel schicken. Oder er hat auf einer externen Festplatte ein Backup, das noch unberührt ist. Laut BSI-Empfehlung ist das die einzige sichere Abwehr gegen Krypto-Trojaner.
Aktuell größte Bedrohung für Nutzer
Viele Opfer entscheiden sich, das Lösegeld zu bezahlen. Oft bekommen sie dann tatsächlich ihre Daten zurück. Denn nur so bleibt das Geschäft am Laufen. Offenbar sind die Erpressungen so lukrativ, dass Hacker für ihre Angriffe inzwischen Botnetze nutzen, über die bisher Banking-Trojaner verteilt wurden, wie das BSI beobachtet hat. Botnetze bestehen aus infizierten Computern, die ohne Wissen ihrer Besitzer zum Verteilen von Schadsoftware oder Spam missbraucht werden. Eine Rückverfolgung zu den Urhebern wird dadurch erschwert.
Laut Einschätzung von Cyber-Sicherheitsexperten ist Ransomware die aktuell größte Bedrohung für private Nutzer, da die Hacker mittlerweile ihr Produkt in allen Aspekten perfektioniert haben: Die Verschlüsselung funktioniert, mit der Kryptowährung Bitcoin existiert ein aus Sicht der Hacker sicherer Weg zur Geldübergabe, und die Software löscht alle in ihrer Reichweite befindlichen Backups. Selbst bereits gelöschte Schattendateien, die vielleicht zur Wiederherstellung Mittlerweile existieren zudem Programmier-Baukästen, mit denen die Hacker immer neue Varianten der Software an den Virenscannern vorbeischleusen.
„Die Täter haben gelernt, dass private Nutzer mittlerweile tatsächlich zahlen, um ihre Daten wiederzubekommen“, sagt Kevin Mahaffey, Gründer der IT-Sicherheitsfirma Lookout. „Die privaten Daten haben heute einen viel größeren Wert für den Nutzer als noch vor zehn Jahren. Die Bilder von den ersten Schritten des Kindes, die Kontoauszüge der letzten Jahre, die E-Mail-Korrespondenz – alles liegt auf der Festplatte der Nutzer und ist angreifbar.“
Arbeitsteilung in der Untergrundökonomie
Die Täter betreiben mittlerweile professionelle Arbeitsteilung, erklärt Mahaffey. „Einige haben sich auf das Programmieren der Erpresser-Software spezialisiert und verkaufen Baukästen. Andere liefern E-Mail-Adressen zahlungswilliger Opfer, wieder andere verbreiten die Software über infizierte Spam-Mails. Und schließlich gibt es solche, die das Geld einsammeln.“ Diese Arbeitsteilung in der Untergrundökonomie erschwert auch Ermittlern ihre Arbeit.
Mittlerweile sind jedoch nicht mehr nur Privatnutzer im Visier der Erpresser: Krankenhäuser in Nordrhein-Westfalen sind ebenso betroffen wie mittelständische Firmen oder die Rechner diverser Gemeindeverwaltungen.
Anfang Februar erwischte es die Rechner der Stadtverwaltung von Dettelbach in Unterfranken. Nach einigem Überlegen fügte sich Bürgermeisterin Christine Konrad den Forderungen der Täter und zahlte umgerechnet knapp 500 Euro, um wieder an ihre Daten zu gelangen. Damit kam sie noch günstig weg: Ein Krankenhaus in Los Angeles zahlte im Februar 17.000 Dollar, um wieder Zugriff auf seine Patientendaten zu bekommen.
Bild: 
Bestimmte Rechte vorbehalten von Mr. Cacahuate
Experten raten von Zahlung ab
Aus Sicht von Sicherheitsbehörden ist die Zahlungsbereitschaft der Opfer ein Teil des Problems. Für die Opfer sind 400 Euro ein relativ geringer Preis, wenn die Erinnerungen eines ganzen digitalen Lebens von der Vernichtung bedroht sind. Dennoch raten Sicherheitsfirmen, BSI und Polizei davon ab zu zahlen. Nicht nur könnten die Täter nach der Zahlung erneut Forderungen stellen. Auch ermutigen die Opfer Nachahmer.
Je mehr Geld die Täter einnehmen, desto mehr Hacker versuchen, mit eigener Erpressungssoftware daran mitzuverdienen – und suchen dabei nach neuen Opfergruppen. Spezielle Ransomware-Varianten greifen Server an und verschlüsseln die Dateien ganzer Web-Auftritte, was für Unternehmen existenzgefährdend werden kann.
Auch Mobilnutzer sind mittlerweile ins Visier der Hacker geraten: In diversen Drittanbieter-Appstores warten Schädlinge wie Lockdroid darauf, gleich ganze Telefone zu sperren. Anfang März kam mit der Software KeRanger die erste Ransomware heraus, die gezielt Apples Mac-Rechner angreift. Apple reagierte schnell und zog per Update ein kompromittiertes Software-Zertifikat aus dem Verkehr. Doch der Angriff dürfte nicht der einzige bleiben.
So schützen Sie sich
Auf der Computermesse Cebit, die heute in Hannover startet, zeigen Sicherheitsanbieter Antivirus-Software, die auf die Erkennung von Ransomware spezialisiert sein soll. Bitdefender wirbt beispielsweise damit, auch Ransomware auf dem Mac blockieren zu können. Doch diese Software hilft zuverlässig nur bei bereits bekannten Varianten, völlig neue Erpressungssoftware wird erst nach Updates erkannt.
Die einzige sichere Abwehr der Erpresser ist die Vorsorge: Nicht nur sollten die Nutzer Backups auf Festplatten anlegen, sondern auch ihre wichtigen Dateien und Bilder in Cloud-basierten Speicherservices wie Googles Drive, Microsofts OneDrive oder Amazons Cloud Drive ablegen.
Zur Sicherheit sollte eine Sicherungskopie auf einer Festplatte abgelegt werden, die nicht in das Netzwerk eingebunden ist, da Ransomware auch hier verschlüsseln kann. Auf Netzwerkfestplatten können außerdem Rechte festgelegt werden, die das Schreiben und damit auch Verschlüsseln von Dateien verhindern.
Computerprogramme sollten darüber hinaus immer aktuell gehalten werden, da häufig von den Herstellern Sicherheitslücken über Updates geschlossen werden. Auf Apple-Computern kann in den Sicherheitseinstellungen festgelegt werden, dass sich nur Software installieren lässt, die aus dem Mac-App-Store kommt und damit vorher überprüft wurde. Zudem sollten PC-Nutzer in Betracht ziehen, die Nutzerkonten auf ihren Rechnern umzustellen: Für den täglichen Surf-Betrieb und insbesondere die E-Mail-Lektüre sollten Konten ohne Administratorrechte angelegt werden. So werden die Installationsprogramme der Trojaner einfach ausgebremst.
Dieser Artikel erschien zuerst bei Welt Online.