Cyberkriminelle erpressen Firmen mit Schadsoftware

Stefan Jung, Sprecher des Landeskriminalamts in Kiel. © Dorothea Benedikt

Bad Oldesloe. Täter schicken bundesweit Bewerbungen per E-Mail und schleusen im Anhang mit Viren auf Rechner. Oldesloer Unternehmen zeigt Fall an.

Bewerbungen per E-Mail sind heutzutage für Unternehmen gang und gäbe. In Schleswig-Holstein können sie jetzt zur Gefahr fürs Computernetz werden. Internet-Kriminelle schleusen im Anhang der vermeintlichen Bewerbung Schadsoftware auf Firmenrechner und erpressen anschließend die Betriebe. In den vergangenen Tagen haben sechs Unternehmen, eins davon aus Bad Oldesloe, Anzeige bei der Polizei erstattet.

Das Landeskriminalamt (LKA) in Kiel spricht von einem bundesweiten Angriff. „Die Täter gehen sehr professionell vor“, sagt Stefan Jung, Sprecher der LKA. Während in der Vergangenheit Spam-Mails mit der sogenannten Ransomware (Erpresser-Software) an große Verteiler verschickt wurden, arbeiten Cyberkriminelle bei ihrer neuesten Methode gezielt. Sie suchen sich Firmen aus und schreiben den Geschäftsführer oder die Personalmitarbeiter persönlich an.

„Und das in sehr gutem Deutsch“, sagt Jung. In einer E-Mail war beispielsweise zu lesen: „... durch eine persönliche Recherche habe ich von einer fundierten Ausbildung zum Tischler in Ihrem Unternehmen erfahren. Aus diesem Grund sende ich Ihnen meine Bewerbungsunterlagen zu ...“

Schadsoftware ist als Lebenslauf oder Zeugnis getarnt

Öffnet der Mitarbeiter den Anhang, findet er weder Lebenslauf noch Zeugnisse oder andere Bewerbungsunterlagen. Stattdessen installiert sich durch den Klick die Schadsoftware auf dem Computer, die sofort mit der Verschlüsselung aller Daten beginnt. Zusätzlich wird ein Erpresserschreiben mit dem Namen „Your_files_are_encrypted.html“ (Übersetzt: Ihre Dateien sind verschlüsselt) heruntergeladen. In diesem Schreiben fordern die Internet-Betrüger mehrere Hundert Euro für die Entschlüsselung. Gezahlt werden solle das Lösegeld in der elektronischen Währung Bitcoins. „Das Ganze geht anonym vonstatten“, sagt Stefan Jung. Er spricht von einer Verschleierung der „Finanzspur“.

So schützen Sie sich vor verseuchter Software

Die Zentralstelle Cybercrime des LKA Schleswig-Holstein empfiehlt, E-Mails sorgfältig zu prüfen, insbesondere wenn ein Link zum Download von Datein angeboten wird.

Ein Backup, das Dateien auf einem anderen Speicherort sichert, sollte regelmäßig gemacht werden.

Anti-Viren-Updates und Sicherheits-Patches sollten immer auf dem neuesten Stand sein. Diese Programme verhindern, dass die Schadsoftware auf dem Computer installiert wird.

IT-Experten sollten zu Rat gezogen werden, wenn die sogenannte Ransomware auf dem Firmenrechner ist.

Informationen gibt es unter der Cybercrime-Hotline des LKA in Kiel. Die Experten sind von Montag bis Freitag zwischen 9 und 15 Uhr unter der Telefonnummer 0431/160 45 45 erreichbar.

Hilfe im Internet gibt es unter www.bsi-fuer-buerger.de und www.botfrei.de.

Die Täter selbst heben das Geld nicht ab. Sogenannte Finanzagenten werden angeworben, die ihr Konto zur Verfügung stellen und dafür eine gewisse Summe kassieren. „Sie überweisen das Geld dann weiter über Internet-Geldtransfer an die Täter“, sagt Jung. Die Spur des Geldes führe oft ins Ausland, und die Finanzagenten kennten die wahren Täter auch nicht.

„Natürlich machen sich auch diese Agenten wegen Geldwäsche strafbar. Und von ihnen kann Schadenersatz gefordert werden“, sagt Jung. Sein Rat an die betroffenen Firmen ist allerdings eindeutig: „Lassen Sie sich nicht erpressen.“ Von den sechs betroffenen Unternehmen in Schleswig-Holstein sei keins auf die Forderung der Kriminellen eingegangen. „Wer sich einmal erpressen lässt, bei dem werden es die Täter erneut versuchen“, sagt der LKA-Sprecher. Denn die Schadsoftware bleibe auf dem Computer. Ferner sei nicht gewährleistet, dass die Kriminellen die Daten wieder entschlüsselten.

Täter verlangen ganz bewusst von den Unternehmen nur relativ kleine Summen

Doch nicht alle Unternehmer sind so standhaft wie die sechs aus Schleswig-Holstein. In anderen Firmen ist die Angst, wichtige Kundendaten oder Rechnungen zu verlieren, offenbar doch so groß, dass sie auf die Forderungen der Erpresser eingehen.

In einer Umfrage einer Sicherheitsberatung unter amerikanischen IT-Administratoren im vergangenem Jahr gaben 57 Prozent an, bei drohendem Datenverlust ohne zu zögern Geld zu zahlen. Dies belegt auch eine Untersuchung der Internetsicherheits-Firma Dell Secureworks. Die Experten schätzen, dass bei einem ähnlichen Angriff mit der Erpressersoftware „Cryptolocker“ die Erfinder innerhalb von vier Monaten rund 30 Millionen Dollar erpresst haben.

Die Experten des Landeskriminalamtes gehen davon aus, dass es ein großes Dunkelfeld gibt. Viele Opfer zeigten die Erpressung gar nicht erst nicht an. Das ist laut Stefan Jung auch ein Teil der Strategie der Verbrecher. Denn bei etlichen Unternehmen fielen ein paar Hundert Euro nicht so sehr ins Gewicht. Stefan Jung: „Würden die Täter eine Million Euro verlangen, würden alle zur Polizei gehen.“

Auch private Internetnutzer können Opfer solcher Erpresser werden. In der Vergangenheit haben Kriminelle via Internet Computer gesperrt oder sich als Polizisten ausgegeben und behauptet, von dem PC sei kinderpornografisches Material versandt worden.