Flut von Erpresser-Viren: "Zahlen Sie nicht!"

Erpresser-Viren boomen derzeit. Sogenannte Ransomware verschlüsselt Festplatten, legt Krankenhäuser und Behörden lahm. Die Absender fordern Lösegeld. Die Polizei scheint machtlos - aber Abhilfe ist möglich.

Trojaner Locky: Verschlüsselt Dateien, Täter fordern Lösegeld in Bicoin

Foto: Soeren Stache/ dpa

Am Aschermittwoch fuhren im Lukaskrankenhaus im niederrheinischen Neuss die Rechner nicht hoch. Auf manchen Bildschirmen erschien ein in schlechtem Englisch verfasster Erpresserbrief. Alle Dateien des Rechners seien verschlüsselt worden, um Abhilfe zu schaffen, solle man sich an eine E-Mail-Adresse wenden. Hätte die Klinik geantwortet, wäre es auf eine Lösegeldforderung (ransom) hinausgelaufen.

"Wir haben stattdessen das Landeskriminalamt eingeschaltet und Anzeige erstattet", sagt Kliniksprecher Andreas Kremer.

Szenen wie diese häufen sich in Deutschland derzeit. "Ransomware erlebt gerade einen großen Boom", sagt Christian Funk, beim Antiviren-Unternehmen Kaspersky Leiter der deutschen Forschungs- und Analyseabteilung.

Zurück ins vordigitale Zeitalter

Die Leitung des Lukaskrankenhauses entschied sich, die Klinik nach der Attacke zurück in einen vordigitalen Zustand zu versetzen. "Wir haben alle Systeme abgeschaltet, um die Ausbreitung der Schadsoftware zu verhindern", so Kremer. Röntgenbilder sahen sich die Ärzte nicht mehr auf Tablets an, Laborwerte wurden mit Papier und Stift notiert, Telefonate ersetzten E-Mails. "Viele Mitarbeiter haben gesagt, die Arbeit fühle sich wieder so an wie vor 15 Jahren", sagt der Krankenhaus-Sprecher.

Aus Sicherheitsgründen verschoben die Mediziner Operationen, die engmaschig mit Laboruntersuchungen hätten begleitet werden müssen. Vorübergehend meldete sich die Klinik auch von der Notallversorgung ab und nahm keine Schwerverletzten mehr auf. Die Cyberattacke habe die Versorgung der Patienten nicht gefährdet, so Kremer. Dennoch seien die Konsequenzen enorm: "Wir werden unsere IT neu aufstellen müssen und rechnen derzeit mit einem Schaden von etwa 750.000 Euro."

Nach Angaben des nordrhein-westfälischen Landeskriminalamts (LKA) hat sich die Zahl der Attacken zuletzt drastisch erhöht. Von Dezember bis Februar registrierten die Fachleute in der Cybercrime-Abteilung des LKA insgesamt 156 angezeigte Fälle. 113 davon betrafen Firmen, 30 Privatpersonen, neunmal fielen Kliniken der Masche zum Opfer und viermal kommunale Verwaltungen. Auch das Düsseldorfer Innenministerium traf es schon.

Um den Faktor 2,6 zugenommen

"Wir werden von Schadsoftware regelrecht überschwemmt", sagt LKA-Chef Uwe Jacob. Es sei höchste Zeit, dass sich Firmen und Behörden auf die Gefahr einstellten und ihre IT schützten. Auch die Qualität der "heimtückischen Angriffe" habe sich deutlich erhöht.

Firmen würden in letzter Zeit oft gezielt attackiert, sagt Virenanalyst Funk, früher sei bei Ransomware "eher mit der Schrotflinte geschossen" worden. "Die Angriffsversuche haben sich im Halbjahresvergleich um den Faktor 2,6 erhöht, in Deutschland stärker als international", sagt er. Diese Zahlen leitet Kaspersky aus anonymisierten Kundendaten aus dem eigenen Cloud-Netzwerk ab. So werden auch erfolglose Angriffsversuche sichtbar.

Die kriminellen Schädlinge heißen Locky, TeslaCrypt, Cryptolocker oder Cryptowall, das Prinzip ist immer dasselbe: Festplatten werden verschlüsselt, Lösegeld gefordert, in der Regel in der schwer rückverfolgbaren Digitalwährung Bitcoin. Manchmal bieten die Erpresser sogar freundlich Hilfestellung beim Umgang mit Bitcoin an, berichtet Funk.

TeslaCrypt schlug Ende 2015 auch beim Zentrum Bayern Familie und Soziales (ZBFS) zu, in der Regionalstelle Oberfranken in Bayreuth. Mehrere Mitarbeiter der Behörde, die dem bayerischen Sozialministerium unterstellt ist, hatten einen schädlichen E-Mail-Anhang geöffnet, mehr als eine Million Dateien waren plötzlich verschlüsselt. "Man konnte nicht mehr auf den Server zugreifen", sagt Behördensprecher Frank Altrichter.

Interne IT-Experten benötigten damals rund drei Tage, um das Problem zu lösen. Das ZBFS erstattete Anzeige gegen Unbekannt. Lösegeld wurde laut der Generalstaatsanwaltschaft Bamberg in dem Fall nicht gezahlt. Eine andere bayerische Behörde dagegen zahlte.

Aus Opfern werden Täter gemacht

Den Schaden in Bayreuth schätzt die Behörde auf rund 500.000 Euro, entstanden durch den mehrtägigen Arbeitsausfall und den Aufwand für die Reparatur. Einen Datenverlust habe man glücklicherweise nicht erlitten, so Altrichter.

Der Kölner Staatsanwalt Markus Hartmann, der die Zentralstelle der NRW-Justiz zur Bekämpfung der Cyber-Kriminalität leitet, spricht von einer "ganz erheblichen Qualitätssteigerung" der Angriffe. Es habe sich eine regelrechte Schattenindustrie gebildet, in der sich Täter arbeitsteilig die Mittel für ihre digitalen Erpressungen zur Verfügung stellten. Gegen Geld natürlich. "Auf diese Weise potenzieren sie ihre Möglichkeiten", so Hartmann.

Man könne sich Ransomware zusammenkaufen, "mit Aufpreisliste wie beim Autokauf", sagt Kaspersky-Analyst Funk. Teilweise funktioniere das kriminelle Geschäft auch "wie ein Franchise-System": 70 Prozent des erpressten Geldes gehe an den den Verbreiter, 30 Prozent an den Entwickler. Hinter dem Großteil der Taten stecke demnach aber "eine Handvoll Akteure". Manchmal würden die Opfer sogar zu Tätern gemacht: "Wer nicht zahlen kann, kann zur Mitarbeit bei der Verbreitung aufgefordert werden, um seine 'Schuld' abzuarbeiten." Die Geldforderungen lägen zwischen 15 und 2500 US-Dollar.

Es gibt Möglichkeiten, sich zu schützen - oder zu wehren

Zugleich geht das Entdeckungsrisiko der Drahtzieher gegen Null. Die Täter nutzen den Ermittlern zufolge fast immer das Verschlüsselungsnetzwerk Tor, das ihre Identifikation verhindert. So haben die NRW-Behörden nach Informationen von SPIEGEL ONLINE in den vergangenen zwei Jahren keinen einzigen Ransomware-Verteiler gefasst - Polizei und Justiz sind ziemlich machtlos. Und im Vergleich zu anderen Bundesländern gilt das Düsseldorfer LKA sogar noch als besonders kompetent in Sachen Cybercrime. Doch wo Repression chancenlos bleibt, ist Prävention das Gebot der Stunde.

Dazu rät auch Kaspersky: Backups der eigenen Daten seien Pflicht, und zwar auf Speichern, die "nicht permanent angeschlossen sind" - denn hat sich ein Ransomware-Trojaner erst einmal in einem Netzwerk eingenistet, verbreitet er sich rasant und verschlüsselt alles, was ihm unterkommt. Für Privatleute könnten zum Beispiel regelmäßige Backups auf einer USB-Festplatte eine Möglichkeit sein, die danach wieder abgezogen wird.

Funk rät aber auch: Im Fall einer Infektion nicht gleich die eigene Festplatte abräumen. "Es gibt manchmal Lücken in der Implementierung der Verschlüsselungssoftware", und dann könnten die Daten womöglich befreit werden - so wie in Bayreuth. Kaspersky stellt dazu kostenlose Werkzeuge bereit , auch von anderen Herstellern gibt es entsprechende Software.

Ist man doch Opfer einer Cyber-Erpressung geworden, rät der Virenforscher dasselbe wie die Polizei: "Zahlen Sie nicht!" Denn dass der Täter den Computer anschließend tatsächlich wieder entschlüssele, sei kaum zu erwarten.

Erpresser-Viren - wie kann ich mich schützen?

Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.

Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.

Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.

Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.