Siegerland. . Täter gehen immer raffinierter vor, um Viren in die IT-Systeme von Unternehmen einzuschleusen, den Betrieb lahmzulegen. Dann fordern sie Lösegeld

Ein Angriff pro Woche, mindestens. Alle sieben Tage, wahrscheinlich häufiger, gibt es in Siegen-Wittgenstein und Olpe einen Erpressungsversuch, meist mit sogenannten Verschlüsselungstrojanern. IT-Systeme von Firmen werden blockiert, der Betrieb lahmgelegt und von den Tätern erst nach Zahlung eines „Lösegelds“ wieder freigegeben. „In vielen Unternehmen wird das Thema IT-Sicherheit eher stiefmütterlich behandelt“, sagt Markus Weber, Geschäftsführer der Geisweider Firma Dokuworks, die sich unter anderem auf die IT-Sicherheit von Firmen spezialisiert hat. Wie das für Betrug- und Computerkriminalität zuständige Kommissariat 2 der Kreispolizei geht Weber von einer hohen Dunkelziffer aus. Denn viele Firmen zahlen, um schnell wieder arbeitsfähig zu werden. Nicht nur Firmen sind betroffen, auch Privatpersonen werden Opfer von Cyberattacken.

Schwachstelle beim Eindringen von Schadsoftware ins Netz ist meist der Mensch. „Niemand ist den ganzen Tag paranoid“, sagt ein Ermittler des Kriminalkommissariats. „Es gibt keine hundertprozentige Sicherheit – aber man kann die Risiken extrem reduzieren“, so Markus Weber. Wer sich und seine Mitarbeiter sensibilisiere, regelmäßig seine Daten sichere, dem könne ein Virus „wenig bis nichts“ anhaben, sagt der Experte.

Welche Straftaten im Netz häufig verübt werden

1. Erpressung. Betrifft Firmen genauso wie Privatleute: PC-Systeme werden als „Geiseln“ genommen, um Geldforderungen zu stellen. Bekannt wurde diese Masche 2011/12 mit dem „BKA-Trojaner – Geräte wurden durch eine Meldung gesperrt: Man sei straffällig geworden, nun müsse man zahlen, damit der Rechner wieder benutzbar wird. Diverse Varianten dieser Masche gibt es, Erpressungsversuche sind laut Polizei nach wie vor das größte Problem. Privatleute werden beispielsweise mit vermeintlich expliziten Inhalten erpresst, die die Täter angeblich besitzen: Massenhaft Mails werden verschickt, nur extrem wenige fallen darauf herein – aber „irgendwer hat immer ein schlechtes Gewissen“, sagt der Polizist.

2. Betrug. Beim „CEO-Fraud“ werden Mails so gefälscht, dass sie aussehen, als kämen sie vom Chef. Die Täter geben sich als Kunden oder Geschäftsführer aus, E-Mail-Signatur und -Adressen unterscheiden sich nur in Details vom Original, die Geschichten sind gut konstruiert und auf den ersten Blick glaubhaft. Mitarbeiter werden etwa dazu verleitet, Zahlungen anzuweisen. Die Täter betreiben erheblichen Aufwand beim sogenannten Social Engineering, prüfen Profile in Sozialen Netzwerken, um ihre Lügengeschichten zu erfinden. „Die wissen genau, wer wofür zuständig ist und wer welche Kontakte pflegt“, sagt der Polizist. Bei Privatpersonen wird oft das sogenannte Romance Scamming versucht: Täter gaukeln die große Liebe vor, nutzen die Gefühlslage der Opfer aus, bringen sie dazu, Geld zu überweisen.

3. Datendiebstahl. Hacken von Computern, Ausspähen sensibler Daten von Konten oder Online-Versandhäusern und schon können Täter auf Kosten der Opfer Geld überweisen oder einkaufen. Auch Industriespionage kann sich für die Täter lohnen.

Straftaten sind nicht neu

Polizeiliche Ermittlungen richten sich nach der Ausgangsstraftat: Zum Beispiel Beleidigung, Bedrohung oder Betrug. Ob eine Tat analog oder digital begangen wird, ist für die Polizei zunächst unerheblich.

Das Internet hat in diesen Fällen keine neuen Arten von Straftaten hervorgebracht. Vielmehr bedienen sich Kriminelle der Möglichkeiten des weltweiten Netzes, um Straftaten zu begehen, die sie auch analog begehen könnten. Aber online eben schneller und mit deutlich besseren Chancen, nicht erwischt zu werden.

Wie die Ermittler dagegen vorgehen

Die Polizei, insbesondere Landes- und Bundeskriminalämter haben durchaus IT-forensische Möglichkeiten, auch im Internet hinterlassen Täter Spuren auf Maschinen – allerdings müssen riesige Datenmengen ausgewertet werden. Dazu benötigt die Polizei Zugriff auf die IT-Infrastruktur eines Unternehmens, wovor Betroffene häufig zurückschrecken. „Die wollen einfach nur, dass ihre Systeme wieder laufen“, sagt der Beamte. Die Aufklärungsquote ist sehr gering, eben auch, weil der Ermittlungsaufwand enorm ist. Den Tätern stehen Methoden zur Anonymisierung zur Verfügung, die quasi nicht zu knacken sind. Im Darknet gibt es überhaupt keine Ermittlungsansätze.

Was die Täter antreibt

„Viele Täter sind hoch spezialisiert, wenn es um Cyberangriffe geht“, sagt der Ermittler. „Das sind keine Kinder, die mal ein bisschen programmiert haben, da ist enormes Fachwissen vorhanden.“ Drucker beispielsweise seien sehr leicht zu knacken, sagt Markus Weber, weil sie mit Standardpasswörtern gesichert sind, über die Täter dann ins Firmennetzwerk eindringen können. Oder es werden Word-Dokumente an Mails angehängt, in deren Quellcode ein Virus verborgen ist. Einmal angeklickt, entsteht so die Verbindung aus dem Firmennetzwerk nach draußen. „Wenn ein Mitarbeiter an seinem Geburtstag eine Glückwunsch-Mail erhält, freut er sich zunächst“, sagt Markus Weber – und öffnet das infizierte Glückwunschschreiben. Viele Täter seien Jugendliche im Ausland, die schnell beachtliche Summen Geld verdienen können – oder einfach, „weil sie es können“, sagt Weber. Die Hemmschwelle sei niedrig, weil man im Grunde nur einen Laptop benötige.

Wie sich Unternehmen schützen können

IT-Sicherheit ernst nehmen, „genauso wie Arbeitssicherheit“, empfiehlt Markus Weber. Industrie 4.0 sei nicht nur ein Industrie-, sondern genauso ein IT-Thema – viele Produktionsmaschinen hängen am Netz. Regelmäßig sollten also Backups erstellt und vor allem Mitarbeiter geschult werden: Mail-Anhänge nicht einfach öffnen, bestimmte Informationen nicht veröffentlichen. „Es gab einen Fall, bei dem Hacker einen Trojaner in der Online-Speisekarte eines China-Imbisses platziert hatten“, erzählt Weber – Mitarbeiter hatten Fotos vom Mittagessen dort gepostet. „Es kommt vor, dass ein USB-Stick auf den Firmenparkplatz gelegt wird, wo Uschis Urlaubsfotos’ oder ähnliches draufsteht“, so Weber. Ein Mitarbeiter findet das, schließt den Stick im Büro an und die Hacker haben ihren Zugangspunkt.

Wenn ein Virus im System ist: Stecker ziehen. Denn der Virus benötigt eine Weile, um das System zu infiltrieren. Dann das Sicherheits-Backup aufspielen, denn „da war der Wurm nicht drin und es sind nur die Daten von gestern und heute verloren – und nicht alle“, sagt Weber. Sein Unternehmen () bietet eine 24-Stunden-Hotline für Notfälle, die Experten unterstützen Firmen, wenn Angriffe entdeckt wurden und kümmern sich auch um den Kontakt zu den Behörden