Eine Welle von Erpresser-Software grassiert im Land. Sie verschlüsselt Daten. Um sie zu entschlüsseln, fordern die Cyberkriminellen Geld. Bei Firmen steht im schlimmsten Fall die Produktion still.
Waiblingen/Stuttgart - Horst Häfele von der Kripo Waiblingen wundert sich manchmal, wie arglos die Unternehmer zwischen Waiblingen und Aalen mit den Daten ihrer Firmen umgehen. Zwei Dutzend Anzeigen gingen Mitte Februar von Unternehmern und Selbstständigen ein. Sie klagten darüber, dass Internetkriminelle ihre Daten verschlüsselt hätten. Statt Terminen, Abrechnungen oder Produktionsprogrammen erschien eine Lösegeld-Forderung auf den Bildschirmen. Nur wenn man knapp 400 Euro überweise, würden die Daten wieder entschlüsselt. „Der eine oder andere Unternehmer hatte die Daten nicht gesichert“, sagt Häfele. „Ich vermute auch, dass der ein oder andere gezahlt hat – obwohl wir davon abraten.“
Ransomware wird die Erpresser-Software der Cyberbetrüger im Fachjargon genannt, die jeden Internetnutzer treffen kann. Die Software ist häufig in den Anhängen von E-Mails versteckt. Werden sie geöffnet, beginnt der Trojaner die Daten zu verschlüsseln. Die gefälschten Mails sind immer professioneller gemacht und scheinen oft von Banken, Kunden oder Freunden zu stammen. Und auch beim Besuch einer infizierten Webseite können sich die Nutzer die Trojaner einfangen. Dabei handelt es sich längst nicht nur um Schmuddelseiten – selbst Seiten von Banken oder Medien werden oft gefälscht. „Die Schadsoftware wird durch die Täter regelmäßig verändert, so dass selbst aktuelle Antivirensoftware keinen umfassenden Schutz bieten können“, heißt es beim Landeskriminalamt (LKA) Baden-Württemberg.
Beim LKA ist man besorgt. Zwar ist Ransomware seit Jahren im Umlauf, doch seit Jahresbeginn ist die Zahl stark gestiegen. Mehr als 300 Anzeigen wegen der Erpresser-Software Locky gingen ein, sagt Tim Frenzl von der Abteilung Cybercrime. „Im Vorjahr waren es insgesamt 700 Fälle. Damit haben wir jetzt schon fast die Hälfte erreicht.“ Die Statistik sei allerdings nur ein Näherungswert, da die Anzeigen nicht einheitlich erfasst würden. Außerdem sind noch weitere Ransomware-Trojaner im Umlauf, die nicht in der Landesstatistik erfasst werden. Die Dunkelziffer dürfte auch deshalb um ein Vielfaches höher liegen. Der Bochumer IT-Sicherheitsspezialist G-Data zählt derzeit rund 30 aktive Programmfamilien. Neben Locky sind vor allem die Programme Cryptowall und TeslaCrypt weit verbreitet.
Im Zweifelsfall kann die Produktion still stehen
Bei der Kripo Waiblingen tauchte Locky das erste Mal am 18. Februar auf. Binnen weniger Tage trudelten die 25 Anzeigen ein – auch weil Häfele sofort vor der Bedrohung warnte. „So massiv war es noch nie“, sagt er. Nahezu ausschließlich kleine und mittelständische Firmen zwischen Waiblingen und Schwäbisch Hall meldeten sich, darunter aus Messtechnik und Anlagenbau, Lackierereien, Versicherungsmakler, ein Möbelhaus. Bei den zwei größten Firmen entstand ein Sachschaden von rund 30 000 Euro – die Produktion fiel ein bis zwei Tage aus. „Sie hatten zum Glück die Daten gesichert“, sagt Häfele. Ebenso wie die zwei Gemeinden, die es ebenfalls betraf. „Nicht jede kleine Firma hat ein aktuelles Back-up – das ist suizidal“, kritisiert Häfele. „Der Schwachpunkt ist immer das Personal. Wenn zum Beispiel eine Sekretärin einen Anhang öffnet und sich der Trojaner im kompletten System verbreitet. Häufig wird erst in Schulungen und die IT investiert, wenn das Kind in den Brunnen gefallen ist.“
Doch nicht nur das macht den Ermittlern Sorge. Auch wichtige Infrastrukturen sind immer häufiger betroffen – wie etwa Behörden und Krankenhäuser. In Neuss in Nordrhein-Westfalen mussten nach einer Verschlüsselungsattacke Operationen verschoben werden, Ärzte hatten keinen Zugriff mehr auf elektronische Patientenakten. Insgesamt zählte das LKA Nordrhein-Westfalen in den vergangenen drei Monaten neun Angriffe auf Kliniken, bei der Verschlüsselungstrojaner eingesetzt wurden.
„Wenn ein Krankenhaus die Notfallversorgung einstellen muss, wenn eine Stadtverwaltung keinen Zugriff mehr auf ihre Daten hat oder auch Unternehmen in ihrer Existenz bedroht sind, dann macht mir das große Sorgen“, sagt LKA-Direktor Uwe Jacob. Die Systeme wieder sicher zu machen sei auch deshalb schwierig, weil die Schadsoftware sich alle Rechte in einem System verschaffen und damit die Kontrolle übernehmen kann.
IT-Experten fordern Strategien für den Ernstfall
Auch deshalb drängen IT-Experten Firmen, Behörden und Institutionen, umfassende Strategien für den Ernstfall zu entwickeln. Sie sollen Mitarbeiter schulen, Daten effektiv sichern, Sicherheitslücken schneller schließen und die Vorfälle der Polizei melden. Vor allem der nachlässige Umgang mit Sicherheitssoftware steht in der Kritik. „90 Prozent der erfolgreichen Angriffe auf Unternehmen finden über Sicherheitslücken statt“, sagt Thorsten Urbanski von G-Data. „Obwohl es zum Zeitpunkt des Angriffs vom Hersteller schon ein Update gab, die Lücke zu schließen.“
Noch würde die Erpressersoftware meist massenhaft versandt, sagt Urbanski. Die Erpresser würden nur selten die Nutzer der E-Mail-Adressen kennen. Doch das könnte sich ändern. Die Kriminellen könnten mit gezielten Angriffen Druck ausüben und weit mehr als einige Hundert Euro verlangen. Bekannt wurde der Fall einer US-Klinik, die umgerechnet rund 15 000 Euro zahlte, um die verschlüsselten Daten wieder nutzen zu können. Auch Firmen könnten gezielt erpresst werden, sagt Urbanski. „Gerade in Baden-Württemberg lohnt sich das – denken Sie doch nur an die Expertise der Mittelständler.“