Flut von Erpresser-Viren "Zahlen Sie nicht!"

Erpresser-Viren boomen derzeit. Sogenannte Ransomware verschlüsselt Festplatten, legt Krankenhäuser und Behörden lahm. Die Absender fordern Lösegeld. Die Polizei scheint machtlos - aber Abhilfe ist möglich.

Trojaner Locky: Verschlüsselt Dateien, Täter fordern Lösegeld in Bicoin
DPA

Trojaner Locky: Verschlüsselt Dateien, Täter fordern Lösegeld in Bicoin

Von , und


Am Aschermittwoch fuhren im Lukaskrankenhaus im niederrheinischen Neuss die Rechner nicht hoch. Auf manchen Bildschirmen erschien ein in schlechtem Englisch verfasster Erpresserbrief. Alle Dateien des Rechners seien verschlüsselt worden, um Abhilfe zu schaffen, solle man sich an eine E-Mail-Adresse wenden. Hätte die Klinik geantwortet, wäre es auf eine Lösegeldforderung (ransom) hinausgelaufen.

"Wir haben stattdessen das Landeskriminalamt eingeschaltet und Anzeige erstattet", sagt Kliniksprecher Andreas Kremer.

Szenen wie diese häufen sich in Deutschland derzeit. "Ransomware erlebt gerade einen großen Boom", sagt Christian Funk, beim Antiviren-Unternehmen Kaspersky Leiter der deutschen Forschungs- und Analyseabteilung.

Zurück ins vordigitale Zeitalter

Die Leitung des Lukaskrankenhauses entschied sich, die Klinik nach der Attacke zurück in einen vordigitalen Zustand zu versetzen. "Wir haben alle Systeme abgeschaltet, um die Ausbreitung der Schadsoftware zu verhindern", so Kremer. Röntgenbilder sahen sich die Ärzte nicht mehr auf Tablets an, Laborwerte wurden mit Papier und Stift notiert, Telefonate ersetzten E-Mails. "Viele Mitarbeiter haben gesagt, die Arbeit fühle sich wieder so an wie vor 15 Jahren", sagt der Krankenhaus-Sprecher.

Aus Sicherheitsgründen verschoben die Mediziner Operationen, die engmaschig mit Laboruntersuchungen hätten begleitet werden müssen. Vorübergehend meldete sich die Klinik auch von der Notallversorgung ab und nahm keine Schwerverletzten mehr auf. Die Cyberattacke habe die Versorgung der Patienten nicht gefährdet, so Kremer. Dennoch seien die Konsequenzen enorm: "Wir werden unsere IT neu aufstellen müssen und rechnen derzeit mit einem Schaden von etwa 750.000 Euro."

Nach Angaben des nordrhein-westfälischen Landeskriminalamts (LKA) hat sich die Zahl der Attacken zuletzt drastisch erhöht. Von Dezember bis Februar registrierten die Fachleute in der Cybercrime-Abteilung des LKA insgesamt 156 angezeigte Fälle. 113 davon betrafen Firmen, 30 Privatpersonen, neunmal fielen Kliniken der Masche zum Opfer und viermal kommunale Verwaltungen. Auch das Düsseldorfer Innenministerium traf es schon.

Um den Faktor 2,6 zugenommen

"Wir werden von Schadsoftware regelrecht überschwemmt", sagt LKA-Chef Uwe Jacob. Es sei höchste Zeit, dass sich Firmen und Behörden auf die Gefahr einstellten und ihre IT schützten. Auch die Qualität der "heimtückischen Angriffe" habe sich deutlich erhöht.

Firmen würden in letzter Zeit oft gezielt attackiert, sagt Virenanalyst Funk, früher sei bei Ransomware "eher mit der Schrotflinte geschossen" worden. "Die Angriffsversuche haben sich im Halbjahresvergleich um den Faktor 2,6 erhöht, in Deutschland stärker als international", sagt er. Diese Zahlen leitet Kaspersky aus anonymisierten Kundendaten aus dem eigenen Cloud-Netzwerk ab. So werden auch erfolglose Angriffsversuche sichtbar.

Die kriminellen Schädlinge heißen Locky, TeslaCrypt, Cryptolocker oder Cryptowall, das Prinzip ist immer dasselbe: Festplatten werden verschlüsselt, Lösegeld gefordert, in der Regel in der schwer rückverfolgbaren Digitalwährung Bitcoin. Manchmal bieten die Erpresser sogar freundlich Hilfestellung beim Umgang mit Bitcoin an, berichtet Funk.

TeslaCrypt schlug Ende 2015 auch beim Zentrum Bayern Familie und Soziales (ZBFS) zu, in der Regionalstelle Oberfranken in Bayreuth. Mehrere Mitarbeiter der Behörde, die dem bayerischen Sozialministerium unterstellt ist, hatten einen schädlichen E-Mail-Anhang geöffnet, mehr als eine Million Dateien waren plötzlich verschlüsselt. "Man konnte nicht mehr auf den Server zugreifen", sagt Behördensprecher Frank Altrichter.

Interne IT-Experten benötigten damals rund drei Tage, um das Problem zu lösen. Das ZBFS erstattete Anzeige gegen Unbekannt. Lösegeld wurde laut der Generalstaatsanwaltschaft Bamberg in dem Fall nicht gezahlt. Eine andere bayerische Behörde dagegen zahlte.

Aus Opfern werden Täter gemacht

Den Schaden in Bayreuth schätzt die Behörde auf rund 500.000 Euro, entstanden durch den mehrtägigen Arbeitsausfall und den Aufwand für die Reparatur. Einen Datenverlust habe man glücklicherweise nicht erlitten, so Altrichter.

Der Kölner Staatsanwalt Markus Hartmann, der die Zentralstelle der NRW-Justiz zur Bekämpfung der Cyber-Kriminalität leitet, spricht von einer "ganz erheblichen Qualitätssteigerung" der Angriffe. Es habe sich eine regelrechte Schattenindustrie gebildet, in der sich Täter arbeitsteilig die Mittel für ihre digitalen Erpressungen zur Verfügung stellten. Gegen Geld natürlich. "Auf diese Weise potenzieren sie ihre Möglichkeiten", so Hartmann.

Man könne sich Ransomware zusammenkaufen, "mit Aufpreisliste wie beim Autokauf", sagt Kaspersky-Analyst Funk. Teilweise funktioniere das kriminelle Geschäft auch "wie ein Franchise-System": 70 Prozent des erpressten Geldes gehe an den den Verbreiter, 30 Prozent an den Entwickler. Hinter dem Großteil der Taten stecke demnach aber "eine Handvoll Akteure". Manchmal würden die Opfer sogar zu Tätern gemacht: "Wer nicht zahlen kann, kann zur Mitarbeit bei der Verbreitung aufgefordert werden, um seine 'Schuld' abzuarbeiten." Die Geldforderungen lägen zwischen 15 und 2500 US-Dollar.

Es gibt Möglichkeiten, sich zu schützen - oder zu wehren

Zugleich geht das Entdeckungsrisiko der Drahtzieher gegen Null. Die Täter nutzen den Ermittlern zufolge fast immer das Verschlüsselungsnetzwerk Tor, das ihre Identifikation verhindert. So haben die NRW-Behörden nach Informationen von SPIEGEL ONLINE in den vergangenen zwei Jahren keinen einzigen Ransomware-Verteiler gefasst - Polizei und Justiz sind ziemlich machtlos. Und im Vergleich zu anderen Bundesländern gilt das Düsseldorfer LKA sogar noch als besonders kompetent in Sachen Cybercrime. Doch wo Repression chancenlos bleibt, ist Prävention das Gebot der Stunde.

Dazu rät auch Kaspersky: Backups der eigenen Daten seien Pflicht, und zwar auf Speichern, die "nicht permanent angeschlossen sind" - denn hat sich ein Ransomware-Trojaner erst einmal in einem Netzwerk eingenistet, verbreitet er sich rasant und verschlüsselt alles, was ihm unterkommt. Für Privatleute könnten zum Beispiel regelmäßige Backups auf einer USB-Festplatte eine Möglichkeit sein, die danach wieder abgezogen wird.

Funk rät aber auch: Im Fall einer Infektion nicht gleich die eigene Festplatte abräumen. "Es gibt manchmal Lücken in der Implementierung der Verschlüsselungssoftware", und dann könnten die Daten womöglich befreit werden - so wie in Bayreuth. Kaspersky stellt dazu kostenlose Werkzeuge bereit, auch von anderen Herstellern gibt es entsprechende Software.

Ist man doch Opfer einer Cyber-Erpressung geworden, rät der Virenforscher dasselbe wie die Polizei: "Zahlen Sie nicht!" Denn dass der Täter den Computer anschließend tatsächlich wieder entschlüssele, sei kaum zu erwarten.

Erpresser-Viren - wie kann ich mich schützen?
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.
Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Kürzlich erst traf es sogar Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln, etwa mit Truecrypt.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.



Forum - Diskutieren Sie über diesen Artikel
insgesamt 145 Beiträge
Alle Kommentare öffnen
Seite 1
dr.wer? 18.03.2016
1. Ja...
... den Fall hatte ich in letzter Zeit öfter. Virus auf einem Rechner im Netzwerk, der fängt sofort an alles zu verschlüsseln worauf er Zugriff hat, auch die Netzlaufwerke. Ich kann jedem empfehlen der wichtige Daten auf seinen Rechnern hat, diese regelmäßig zu sichern. Am besten mit einer guten Backupsoftware und einem Netzwerkspeicher auf den nur ein Backup-User Zugriff hat. Die Backupsoftware stellt zum Zeitpunkt der Sicherung mit dem Backup-User die Verbindung zum Zielspeicher her und trennt sie danach. Mit dieser Methode konnte ich meine betroffenen Kunden die verschlüsselten Daten bis 30 Minuten vor dem Angriff wiederherstellen und das ohne horrende Kosten. Eine gute Backupstrategie kann hier bares Geld sparen!.
spon_3139848 18.03.2016
2.
Tja, das Problem mit Locky und Co ist hausgemacht, weil sog. "Manager", keine Ahnung von Computern und IT haben und den Admins ihren Job erklären wollen. Im Übrigen gehören unsichere Betriebssysteme, vornehmlich die aus dem Hause Microsoft nicht in Umgebungen, in denen Menschenleben auf dem Spiel stehen!
info121 18.03.2016
3.
Naja die Kollegen vom FBI sehen das etwas anders: http://www.heise.de/security/meldung/Empfehlung-des-FBI-Bei-Erpressungs-Trojanern-klein-beigeben-und-einfach-bezahlen-2859151.html
eternalchii 18.03.2016
4.
Wer keine Lust hat täglich Platten anzuschließen und das Backup abzuwarten, um die Platte wieder abzuziehen, kann auch über Onlinebackups nachdenken, solange die DSL-Verbindung reicht. Mit Duplicati oder anderen Prgrammen, die die Daten vor dem Hochladen verschlüsseln, ist das sogar recht sicher.
whitemouse 18.03.2016
5. Strafbarkeit
Das sind keine harmlosen Hacker, das sind keine, die Gaunereien aufspüren o.ä. Das ist eine massive Kriminalität von enormer Gefährlichkeit. Hier sollte auch überprüft werden, ob das Strafmaß ausreicht, Orientierung könnten die Tatbestände der Brandstiftung geben.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.