Cyber-Attacken mit Erpressungssoftware nehmen zu. Die Programme befallen Rechner, blockieren Daten und fordern Lösegeld. Theoretisch kennt man die Gefahr. Aber was, wenn es tatsächlich passiert? Dann ist man schnell überfordert. Besuch in einem Cyber-Workshop.
Nichts geht mehr. "Oops, your files have been encrypted!" steht in dem Fenster, das sich auf dem Bildschirm öffnet. Übersetzt: Die Daten auf dem Rechner wurden verschlüsselt. Man kommt nicht mehr an sie ran. "Oops" klingt wie ein Unfall - in Wahrheit steckt dahinter aber kalte Kriminalität. Denn wer weiter liest, erhält in gönnerhaftem Ton eine vermeintliche Lösung für das Problem: 300 Dollar, zu zahlen in der Digitalwährung Bitcoin. Aber flugs, denn nach sieben Tagen sind alle Dateien weg. Für immer.
So fühlt es sich an, wenn man Opfer eines Cyber-Angriffs mit Erpressungssoftware - sogenannter Ransomware - wird. Die Programme befallen den Rechner, blockieren Daten und fordern für sie Lösegeld. So etwa wie im Mai bei der WannaCry-Attacke, bei der mehr als 300.000 Computer in 150 Ländern infiziert wurden. Oder wie jüngst in Russland und der Ukraine, als der Erpressungstrojaner BadRabbit ersten Ermittlungen zufolge unter anderem die Kiewer Metro heimsuchte.
Ransomware-Opfer: Die Ziele der Hacker
Notfall- und Rettungsdienste Behörden warnen vor Cyberattacken auf Krankenhäuser, Feuerwachen und sonstige Notfall- und Rettungsdienste. Die Funktion der IT-Systeme entscheidet in diesen Fällen unter Umständen über Leben und Tod. Das macht sie zu vielversprechenden Zielen für Ransomware-Kampagnen.
Der Durchschnittsuser Nicht nur auf dem Feld der IT-Sicherheit gilt der Mensch als schwächstes Glied. Das liegt auch daran, dass Durchschnitts-User sowohl die ergiebigsten, als auch die am leichtesten zu manipulierenden Quellen für Hacker darstellen. Das betrifft ganz besonders diejenigen, die sich leicht unter Druck setzen lassen und/oder technisch nicht allzu bewandert sind. Zum Ransomware-Ziel wird der normale User, weil so gut wie Jeder in Zeiten der Digitalisierung persönliche und/oder Unternehmensdaten auf einem oder mehreren seiner Devices vorrätig hält.
Unternehmen Egal ob groß oder klein: So gut wie jedes Unternehmen muss sich heutzutage auf seine IT-Systeme verlassen, um die täglich anfallenden Geschäftsprozesse abwickeln zu können. Diese Systeme enthalten in der Regel wertvolle Informationen, weswegen Unternehmen auch die ideale Zielscheibe für Ransomware darstellen. Dazu kommt, dass sich viele Unternehmen Ausfallzeiten schlicht nicht leisten können - es ist also sehr wahrscheinlich, dass sie deshalb auf Lösegeldforderungen eingehen.
Strafverfolgungs- und Regierungsinstitutionen Strafverfolgungsbehörden, Geheimdienste und sonstige Regierungsinstitutionen werden von kriminellen Hackern vor allem aus Gründen der Rache ins Visier genommen - schließlich sind sie es, die die Cyberkriminellen verfolgen. Zwar verfügen große Organisationen wie BND oder FBI über die Ressourcen, standesgemäße Abwehrmechanismen einzurichten, bei kleineren Behörden - zum Beispiel Polizeiwachen oder lokale Verwaltungsbehörden - sieht das anders aus. Entsprechend sind die Ransomware-Attacken auf solche Organisationen gestiegen.
Gesundheitswesen Anfang 2016 sorgten die Ransomware-Angriffe auf zwei Krankenhäuser in Nordrhein-Westfalen für Schlagzeilen. Die Folgen der Cyberattacke waren gravierend: Die IT-Systeme mussten komplett abgeschaltet werden, der Offline-Modus zwang die Krankenhäuser in die prädigitale Ära und sorgte dafür, dass große OPs verschoben werden mussten und Notfallpatienten in anderen Kliniken aufgenommen werden mussten.
Bildungseinrichtungen Auch Schulen und Universitäten geraten verstärkt ins Visier der Ransomware-Hacker. Schließlich verfügen sie in aller Regel über ausreichend Ressourcen, um auf Lösegeldforderungen einzugehen - insbesondere in den USA. Im Februar 2016 wurden mehrere Schulen in den Vereinigten Staaten von Crypto-Ransomware heimgesucht. Eine Schule in South Carolina bezahlte rund 8500 Dollar, um wieder an die Daten ihrer 25 Server zu kommen.
Religiöse Institutionen Die Netzwerke von religiösen Institutionen werden für erpresserische Hacker zunehmend attraktiv. Schließlich ist deren Personal in der Regel nicht im Umgang mit Cyberbedrohungen wie Phishing-E-Mails geschult. Ende Februar 2016 waren zwei Kirchengemeinden in den USA betroffen - eine vom Schlagzeilen-trächtigen Crypto-Trojaner Locky. Die Kirchengemeinde bezahlte eine Lösegeld von 570 Dollar, um wieder an ihre Daten zu kommen.
Finanzwesen Der Banken- und Finanzsektor wird regelmäßig zum Ziel von Ransomware-Hackern und Botnets - schließlich ist auch hier in der Regel einiges zu holen. Die Cyberkriminellen, die hinter der Ransomware TeslaCrypt stecken, initiierten Mitte Februar 2016 eine Spam-Mail-Kampagne. Hinter einem infizierten Anhang versteckte sich ein JavaScript-Downloader, der die TeslaCrypt-Malware auf das System der Opfer schleuste.
"Im Prinzip werden die Daten als Geisel genommen", erklärt Michael Meier, Leiter der Abteilung Cyber Security des Fraunhofer-Instituts in Bonn. Er will zeigen, wie das konkret aussehen kann und hat sich daher für den Workshop eines Versicherers gegen Cyber-Angriffe das aufpoppende Fenster mit der 300-Dollar-Forderung ausgedacht. Es ist ein Rollenspiel. Theoretisch dürften viele Unternehmen und private Computerbesitzer von der Trojaner-Gefahr wissen. Aber praktisch?
Szenario mit einen Trojaner
Das Szenario, das Meier entwirft, ist ein Zeitschriftenverlag. Am späten Nachmittag muss das Heft fertig sein, um rechtzeitig gedruckt zu werden. Mitten rein grätscht der Trojaner. Er blockiert die Daten, in denen die geplante Titel-Geschichte steckt und legt auch die Homepage der Zeitschrift lahm, weshalb bald erboste Nachfragen via Twitter auf die Redaktion einprasseln. Die Uhr tickt.
Es gibt mehr Fragen als Antworten. Kann die IT-Abteilung was machen? "Wir haben auch keine Ahnung, wo die Schadsoftware sitzt", blafft ein fiktiver Techniker am Telefon. Gibt es ein Backup? Ja, aber das stamme aus der Nacht und brauche Stunden, um neu aufgespielt zu werden. Ohne den Abteilungsleiter - den er aber nicht erreiche - könne er das auch gar nicht entscheiden. Und im Übrigen sei das auch ein ganz schlechter Zeitpunkt. Man migriere gerade die E-Mail-Konten.
Unklare Verantwortlichkeiten
Wer sich mal ein bisschen in deutschen Unternehmen bewegt hat, dürfte solche Gespräche nachvollziehen können. Es gibt keine Notfallkette für einen Fall, der noch nicht da war. Die Verantwortlichkeiten bleiben unklar. Es fehlt an Kompetenz. Sollte man womöglich sogar die 300 Dollar zahlen? Aber wie kommt man um Himmels willen an Bitcoins? Sollte man die Polizei rufen? Aber nicht, dass die die Server einkassieren! Unterdessen droht der Chef, der von der Materie auch keine Ahnung hat, dass sein Sohn gleich eine Stellungnahme auf Twitter schreibe, wenn die Belegschaft dazu nicht in der Lage sei.
Beim Bundeskriminalamt (BKA) wurden im Jahr 2016 insgesamt 972 Fälle solcher digitaler Erpressungen gemeldet - ein Anstieg von 94,4 Prozent gegenüber 2015. Neu sei das Phänomen zwar nicht, sagt BKA-Cyber-Experte Heiko Löhr. Aber seit Mitte 2015 erlebe es eine "bislang nicht da gewesene Renaissance". Ein großes Problem sei, dass die Programme mittlerweile für jeden im Netz erhältlich seien. "Ohne jegliche IT-Expertise kann jedermann über eine solche Plattform maßgeschneidert oder holzschnittartig das, was angeboten wird, einkaufen, anmieten und entsprechend einsetzen."
Die Sensibilität für das Thema Cybercrime wächst zugleich langsam. "Zurzeit erhalten wir verstärkt Anfragen für Versicherungsschutz aus dem Gesundheitswesen, von Herstellern, Händlern, aber auch aus dem Gastgewerbe", sagt Ole Sieverding vom Versicherer Hiscox, der auf diesem Feld aktiv ist. Viele seien Mittelständler.
Workshop-Leiter Meier hat ein paar einfache Tipps für den Ernstfall. Bei einer gerade aktiven Software: Rechner abschalten. Sich im Internet und bei Spezialisten informieren. Und auf Backups setzen. (dpa/ad)
Ransomware-Angriffe 2017: Top 5
CryptoLocker Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen rund drei Millionen Dollar.
TeslaCrypt TeslaCrypt zielt in seiner ursprünglichen Form auf die File-Erweiterungen populärer Videospiele wie Call of Duty. Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme beendet.
SimpleLocker SimpleLocker ist die erste mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt. Noch dazu ist es auch die erste Ransomware, die ihren maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet.
WannaCry WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen erstmals gestohlene NSA-Hacking-Tools zum Einsatz. WannaCry nutzt eine Schwachstelle im Windows-SMB-Protokoll aus, kann aber letztlich durch das mehr oder weniger zufällige Auffinden eines "Kill Switch" entschärft werden.
Petya Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware Petya basiert. Diese neue Form nutzt dieselbe Sicherheitslücke wie WannaCry. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht.