Tesla-Crypt Erpressung mit Trojaner - Stadtverwaltung zahlte Lösegeld

Ein Erpressungs-Trojaner hatte die Stadtverwaltung im unterfränkischen Dettelbach weitgehend lahmgelegt. Die Behörde sah sich gezwungen, das verlangte Lösegeld zu zahlen.

Von und


Am 8. Februar ging plötzlich kaum noch etwas in der Stadtverwaltung von Dettelbach.

Auf einem der Arbeitsplatzrechner in der Behörde der kleinen unterfränkischen Stadt bei Würzburg hatte sich am Morgen eine Schadsoftware aktiviert - sie war im Anhang einer E-Mail transportiert worden. Die Daten auf den Servern der Stadt mit rund 7000 Einwohnern waren plötzlich verschlüsselt. Eine Anzeige auf dem Bildschirm forderte zur Zahlung eines Lösegeldes auf, um den Rechner wieder benutzbar zu machen.

Nach Angaben des Polizeipräsidiums Unterfranken kam bei der Virusattacke die Schadsoftware Tesla-Crypt in der Version 2.0 oder 3.0 zur Anwendung. Mit Tesla-Crypt wird schon länger erpresst - vergangenen Sommer etwa berichtete das Virenschutzunternehmen Kaspersky, wie Computerspieler unter dem Virus zu leiden haben - er verschlüsselt nämlich auch Spielstände. Auch in diesen Fällen wurde ein Lösegeld verlangt, in der Regel in Höhe von 500 Dollar.

Zuletzt wurde bei Erpressungsviren neben Tesla-Crypt vermehrt der Trojaner Locky eingesetzt. So hatte Locky Mitte Februar binnen 24 Stunden rund 17.000 Rechner in Deutschland infiziert.

Polizei rät, nicht zu bezahlen

Das Besondere am Tesla-Crypt-Fall in Dettelbach: Die Stadtverwaltung zahlte das Lösegeld. Von diesem Schritt rät die Polizei ab.

Zwar sei es nachvollziehbar, wenn sich Betroffene im Einzelfall zur Zahlung des Lösegeldes entschließen würden. Die Sicherheitsbehörden weisen aber darauf hin, dass es keine Garantie dafür gebe, dass die Daten nach der Zahlung auch wirklich entschlüsselt werden könnten. Zum anderen bestehe das Risiko, dass man die Straftäter zu einer Wiederholung animiere.

Erpresser-Trojaner fordert Lösegeld
kaspersky lab

Erpresser-Trojaner fordert Lösegeld

Die Erpresser hatten die Stadtverwaltung Dettelbach zur Zahlung von 1,3 Bitcoin aufgefordert, umgerechnet rund 490 Euro. Der Polizei zufolge führte eine von der Stadtverwaltung beauftragte Fachfirma die Zahlung durch. Anschließend war es möglich, einen Teil der Daten wiederherzustellen.

Dennoch sei es anschließend zu einem "weitreichenden Ausfall des EDV-Systems mit Datenverlusten" gekommen, teilte die Stadtverwaltung an diesem Donnerstag mit. Diese Probleme seien aber nur mittelbar durch die eingedrungene Schadsoftware ausgelöst worden. Vielmehr seien sie durch "Fehlfunktionen im bestehenden EDV-System sowie Fehlentscheidungen bei der Rücksicherung" entstanden.

Stadtwerke mit ernsten Problemen

Infolge der Erpresser-Software war das Einwohnermeldeamt der unterfränkischen Stadt vorübergehend geschlossen. Ab kommenden Montag soll die Stadtverwaltung wieder komplett geöffnet sein. Die Stadtwerke Dettelbach haben dagegen wegen des Trojaner-Angriffs noch Probleme: Sie baten zuletzt ihre Kunden, im Fall von Kündigung, Auszug oder Lieferantenwechsel Kopien der Jahresabrechnung 2015 für Strom und Wasser einzuschicken.

Die Kripo Würzburg hat im Fall Dettelbach die Ermittlungen aufgenommen - es geht unter anderem um den Vorwurf der Erpressung.

Ein anderer Fall beschäftigt derzeit das bayerische Landeskriminalamt. Betroffen ist nach Informationen von SPIEGEL ONLINE eine Behörde mit mehr als 1900 Beschäftigten. Mehrere Mitarbeiter hatten demnach den schädlichen Anhang einer E-Mail geöffnet. Mehr als eine Million Dateien im Netzwerk der Behörde wurden daraufhin durch den Trojaner verschlüsselt. Der dadurch verursachte Schaden ist enorm: Er wird auf rund 500.000 Euro beziffert.

Die beiden Fälle reihen sich ein in einer nicht abreißende Serie derartiger Straftaten. Erst vor wenigen Wochen mussten mehrere Krankenhäuser in Nordrhein-Westfalen ihren Betrieb teilweise einstellen, weil auch ihre Rechnersysteme von Ransomware-Trojanern verschlüsselt worden waren.



© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.