Essen. Über fingierte täuschend echt aussehende Rechnungen verbreiten Hacker Schadsoftware. Jetzt haben sie ein neues Geschäftsmodell entdeckt: Erpressung.
Auf krude formulierte E-Mails von angeblichen nigerianischen Adligen, die ein paar Millionen US-Dollar zu verschenken haben, fällt hoffentlich kaum noch jemand herein. Auch die Gefahr von Phishing-Mails, die meist Kreditkartendaten oder Zugänge zum Online-Banking erschleichen wollen, dürfte sich mittlerweile herumgesprochen haben. Doch nun gibt es für Computer-Benutzer eine neue Bedrohung: "Locky".
"Locky" ist ein Schadprogramm, das sich derzeit rasant verbreitet. Und dieser Schädling läutet einen neuen Trend des Internetbetrugs ein: die gezielte Erpressung.
Auch interessant
"Locky" versteckt sich meist in Mailanhängen, die als Rechnungen oder Bewerbungen getarnt sind. Klicken Nutzer auf die Anhänge, verschafft sich die Software unverzüglich Zugriff auf Festplatten-Daten, verschlüsselt sie und macht sie damit unbrauchbar. Auf betroffenen Rechnern hinterlässt Locky dann eine klare Erpresser-Botschaft: Nur gegen Zahlung einer bestimmten Geldsumme kann die Verschlüsselung der Daten aufgehoben werden. Laut Polizei ist aber nicht garantiert, dass das nach Zahlung des Geldes tatsächlich passiert.
Trojaner wie "Locky" sind ein neues Geschäftsmodell
Ransomware oder Krypto-Trojaner nennen Experten derartige Software; im Umlauf sind neben Locky auch Schadprogramme wie "CryptoWall" und "TeslaCrypt". Durch "Locky" werden Experten zufolge aktuell stündlich Tausende Rechner in Deutschland angegriffen. Oft scheinen Firmen und Institutionen von "Locky" betroffen zu sein, in NRW waren zuletzt mehrere Krankenhäuser unter anderem in Neuss, Mönchengladbach und Arnsberg Opfer dieses Erpressungs-Trojaners.
Das LKA zählt bislang insgesamt 21 Anzeigen, die meisten stammen von Unternehmen, unter anderem aus Gelsenkirchen, Wuppertal, Paderborn, Mülheim, Bielefeld und dem Kreis Mettmann. Zählt man die Meldungen aus allen Polizeidienstellen über Anzeigen wegen Ransomware zusammen, sind es aktuell sogar über 50. "Das ist erst der Anfang", glaubt ein Sprecher der Polizei Gelsenkirchen, dort gab es bis site Mitte Februar zwei Strafanzeigen. Bei der IHK Mittleres Ruhrgebiet räumt ein Sprecher ein: "Unternehmen werden nicht offensiv darüber sprechen, wenn sie Opfer von Computer-Kriminellen geworden sind". Eine Dunkelziffer ist also durchaus denkbar.
Auch interessant
"Ransomware scheint derzeit eines der beliebtesten Geschäftsmodelle von Cyber-Kriminellen zu sein", sagt Tim Griese vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Im Gegensatz zu reinen Datenabgreifern wie Phishing- und Banking-Trojanern, bei denen Umwege und langwieriges Datenauswerten nötig sind, biete Erpresser-Software Kriminellen die Möglichkeit, direkt an Geld zu kommen. Betriebswirtschaftlich gesprochen: Der logistische Aufwand ist bei Ransomware schlicht kleiner - und die Gewinnspanne damit größer.
Krypto-Trojaner werden zunehmend gezielt verbreitet
"Aus diesem Grund scheinen derzeit sogar große Botnetze, die bisher Banking-Trojaner verteilt haben, auf Ransomware umzusteigen", sagt Griese. Die Hacker scheinen dabei bisweilen gezielt nach Opfern zu suchen. "Offenbar versuchen die Täter, ihre Gewinne zu maximieren, indem sie Opfer erpressen, deren infizierte Systeme sie nicht mehr für Online-Banking-Betrug benötigen." Das heißt: Für Online-Banking-Betrug waren diese Systeme schon abgegrast.
Auch die Hacker-Vereinigung Chaos Computer Club (CCC) beobachtet die neue Form der Cyberkriminalität. "Bisher werden Krypto-Trojaner nach dem gleichen Schrotschuss-Verfahren verteilt, wie Spam. Wir sehen aber schon erste Tendenzen, dass die Angreifer Informationen über ihre Opfer und deren verschlüsselte Dateien sammeln. Es ist also durchaus möglich, dass sich die Lösegeldforderungen in Zukunft dem Wert der Daten anpassen. Zum jetzigen Zeitpunkt gibt es in der Regel einen Einheitspreis pro befallenem Rechner", so ein CCC-Sprecher.
"Es gibt keine Garantie, dass die Erpresser die Daten freigeben"
Dieser "Einheitspreis" liegt derzeit bei 0,5 Bitcoin - eine digitale Währung, die derzeit etwa 190 Euro entspricht. Oft aber machen Erpresser Druck und setzen eine Frist, nach der sich das Lösegeld verdoppelt. Die Polizei rät, Forderungen der Erpresser nicht nachzugeben: "Es gibt keine Garantie dafür, dass die Erpresser nachher tatsächlich die Daten wieder freigeben", sagt Andreas Schaub, Leiter des Kommissariats Computerkriminalität bei der Bielefelder Polizei. Er schränkt aber ein: "Wenn durch solch einen Angriff die Existenz einer Firma auf dem Spiel steht, dann ist es nur verständlich, wenn man das geforderte Geld überweist".
So dachte wohl auch Axel Pinders, Geschäftsführer eines Aquaristik-Unternehmens in Grafschaft-Gelsdorf nahe Bonn. Das EDV-Sytem der Firma wurde durch "Locky" lahmgelegt, tagelang hatte er keinen Zugriff mehr Daten, Warenbestände oder Rechnungen. Er entschied sich, zu zahlen. "Mein Rechner wurde freigeschaltet", erzählt er.
Tim Berghoff vom Bochumer Softwarehersteller G-Data gibt allerdings zu Bedenken: "Ein Erpresser kann über eine Hintertür im System zu einem späteren Zeitpunkt nochmals die Daten verschlüsseln und wiederum Geld fordern - selbst wenn er zunächst sein Versprechen zu halten scheint und die Daten freigibt. Mit einer Zahlung geht man also in mehrfacher Hinsicht ein Risiko ein."
Stadtverwaltungen in Alarmstimmung
Die Computer-Attacken durch "Locky" haben auch Stadtverwaltungen in Alarmstimmung versetzt. In Gelsenkirchen können Mitarbeiter seit einigen Tagen von ihren Dienstrechnern nicht mehr auf ihre privaten Mail-Accounts zugreifen, berichtet Stadtsprecher Martin Schulmann. Auch er habe eine der "Locky"-Mails in seinen privaten Mails entdeckt, diese jedoch sofort gelöscht.
Auch interessant
Die Stadtverwaltung Düsseldorf hat den Mail-Empfang bis auf weiteres eingeschränkt: Anhänge wie PDF- oder Word-Dateien würden automatisch ausgefiltert. "Das erschwert natürlich auch Dienstabläufe in der Verwaltung", sagt ein Sprecher. Auch der Rhein-Kreis Neuss und die dortigen Kommunen haben sich auf diese Weise vor "Locky"-Attacken geschützt, sagt Bodo Karnbach vom ITK-Rheinland, IT-Dienstleister für viele Kommunalverwaltungen. "Locky" sei ein Trojaner mit "besonderer Perfidie", sagt Karnbach. "Wir konnten Angriffe mit Locky aber bisher detektieren und abwehren".
Wenn der Virenscanner anschlägt, ist es schon zu spät
Auch die Mail-Hoster web.de und GMX versuchen derzeit, die weitere Verbreitung durch "Locky" einzudämmen: "Unsere Filtersysteme werden ständig weiterentwickelt. Wir konzentrieren uns dabei nicht nur auf ein einzelnes Merkmal in einer E-Mail", sagt ein Sprecher. "Bei der Filterung werden viele unterschiedliche Parameter untersucht, so dass uns eine sehr gute Aussortierung dieses Trojaners gelungen ist – und das, obwohl die Angreifer bei dem Trojaner mehrfach den Mail-Typ, in dem er versteckt war, als auch die Versandwege angepasst haben."
Wie aber können sich Nutzer vor "Locky" schützen? Das Problem: Virenscanner erkennen Krypto-Trojaner nicht unbedingt - und wenn, ist es wahrscheinlich schon zu spät, denn dann hat die Schadsoftware unter Umständen schon mit der Verschlüsselung begonnen. "Verschlüsselte Daten sind, wenn überhaupt, nur mit großem Aufwand wieder zu entschlüsseln", sagt Tim Griese vom BSI. Der Schaden nach einer Infektion ist also erheblich. Als erste Sicherheitsmaßnahmen empfehlen deshalb alle Experten grundsätzlich regelmäßige Backups anzulegen und Daten auf externen Speichermedien zu sichern. Die beste Waffe ist - so banal es klingt - der gesunde Menschenverstand. Bei Mails von unbekannten Absendern und überraschenden Rechnungen sollten Nutzer lieber drei Mal hinschauen und im Zweifel "lieber eine Mail mehr löschen als eine zu wenig".