Draußen ist der Frühling zurückgekehrt, doch im Keller des Markt Schwabener Rathauses ist davon wenig zu spüren. Hinter der Holztür mit dem EDV-Schild rattern die Maschinen, es blinkt und piept. Zwischen Kabeln und Papierstößen steht Günther Schwamberger, Jeans, Hemd, die Stirn glänzt, er telefoniert und notiert. "Stimmt", sagt er, "heute bin ich wohl nach dem Bürgermeister der wichtigste Mann". Wegen der Cyberattacke auf das Rathaus hat die Gemeinde ihm eine externe Firma an die Seite gestellt. "Alleine ist das nicht zu schaffen", sagt Schwamberger, der seit 1. April als Informatiker bei der Gemeinde arbeitet. Sein bisher größter Auftrag ist jedoch kein Aprilscherz, im Gegenteil: Bis Montag soll der Virus "Locky" besiegt sein, der die Daten der Rathaus-Computer seit Donnerstagfrüh verschlüsselt hat.
Wie genau Locky ins System gelangte, ist nach Angaben der Gemeinde nicht klar. "Wir vermuten, dass der Trojaner über eine E-Mail auf dem Rechner gelandet ist", sagt Bürgermeister Georg Hohmann (SPD), der sich am Mittwochabend bereits darüber wunderte, dass sein eigener Büro-Computer so langsam reagierte. Wahrscheinlich war der Virus da schon ausgebrochen, weswegen Schwamberger jetzt alle 14 Server der Gemeinde auf Schäden überprüfen muss. "Wir müssen alles einzeln absuchen, sagt Schwamberger, "und notfalls mit einer Software bereinigen".
In Bayern kommt es immer wieder zu ähnlichen Fällen, von Erpresser-Viren sind im Freistaat mehr als 60 Kommunen betroffen. Das bayerische Landeskriminalamt (LKA) warnt davor, das geforderte Lösegeld zu zahlen, schon deshalb, weil es einem keine Garantie gibt, dass die Daten tatsächlich wiederhergestellt oder entschlüsselt werden. Anfang März hatte die unterfränkische Gemeinde Dettelbach den Fehler begangen und knapp 500 Euro über Bitcoins, eine Online-Währung, an ein unbekanntes Konto gezahlt. "Wer überweist, macht sich erpressbar", sagt Günter Younger, Leiter des LKA-Dezernats für Cyberkriminalität.
Im Rathaus sind an diesem Freitag alle Rechner abgeschaltet, ein Schild am Eingang informiert über "technische Störungen". Im Büro von Sibylle Junker wird wieder von Hand geschrieben. "Ich fülle alle Überweisungen per Stift aus", sagt sie. "Völlig unpraktisch" sei das, wegen der langen Iban-Nummern. Ein Stockwerk darüber, im Vorzimmer des Bürgermeisters, wird ebenfalls gearbeitet, Anna Ostermair hat ein Lächeln auf dem Gesicht. "Endlich kommen wir dazu, die Papierstapel abzuarbeiten", sagt sie. Kollegin Katrin de Laporte hat hingegen das Problem, dass die Termine für die kommenden Tage alle auf dem Rechner gespeichert sind. "Da komme ich jetzt nicht mehr ran", sagt sie.
Das System hinter Virus-Programmen wie dem Krypto-Trojaner Locky macht sich die Abhängigkeit der Menschheit von Computern und Internet zunutze. Wie auch im Markt Schwabener Fall tarnt sich die Schadsoftware meist als Anhang einer harmlos anmutenden E-Mail, bei der im Betreff meist "Rechnung" steht. Wer den Anhang herunterlädt, habe den Virus meist schon auf dem Rechner, so Younger. Manche seien aber auch in einem simplen Bild-Download versteckt. "Es gibt immer wieder neue Varianten, und es dauert, bis sich die Schutzprogramme darauf einstellen", sagt Younger. Dass es dabei auch Kommunen erwische, sei ein logischer Zufall.
Anders als bei gezielten Angriffen auf geheime Daten, wie etwa beim Hacker-Angriff auf den Bundestag im vergangenen Jahr, geht es den Cyber-Erpressern allein darum, Geld zu verdienen. Nach Angaben des LKA sei neben Locky vor allem das Virusprogramm "Petya" der häufigste Trojaner. Betroffen sind neben Kommunen auch Privatleute und immer öfter Unternehmen. Anfang April gab das LKA eine Warnmeldung heraus, wonach die Viren in elektronischen Bewerbungsschreiben mit Dropbox-Links verschickt würden. Erst im Februar hatte Locky die Rechner einer großen Firma in Hohenlinden lahmgelegt und mit dem Datenverlust einen Schaden von etwa 30 000 Euro angerichtet.
Lukrativ ist die Lösegeld-Methode vor allem, weil die Polizei praktisch niemanden erwischt. "Die Täter sind weltweit verstreut", sagt Younger, was es fast unmöglich mache, die verschlüsselten Nachrichten und Überweisungsdaten nachzuverfolgen. "Man braucht keinerlei IT-Wissen", sagt Younger. Wer zum Cyber-Erpresser werden will, kann sich das gewünschte Virus-Paket inklusive E-Mail-Adressen im Baukastensystem zusammenstellen. Die Anschaffungskosten belaufen sich auf etwa 4000 Euro, also acht Mal Dettelbach. Ein Risiko haben Erpresser dennoch: "Wer sich einen Virus bauen will, muss die Komponenten kaufen und dadurch zwangsläufig kommunizieren", sagt Younger. Anbieter und Käufer von Cyber-Viren hinterlassen womöglich Spuren - darin sieht das LKA seine Chance.
Welche Summe von Markt Schwaben gefordert wird, weiß Bürgermeister Hohmann nicht. "Das ist uns auch egal, wir lassen uns nicht erpressen", sagt er. Er hofft, dass die 40 Rechner von Montag an wieder funktionieren. Sollte es gelingen, alle Daten und Programme zu sichern, müsste letztlich nur der Rechner neu installiert werden, auf dem der Virus heruntergeladen wurde, sagt Hohmann. Die Gemeinderatssitzung am Dienstag soll wie geplant stattfinden. "Dann wäre der einzige Schaden, dass manche Arbeiten nicht gemacht werden konnten", sagt Hohmann. Für die klamme Gemeindekasse wäre das eine gute Nachricht. "Die Versicherung", sagt Informatiker Schwamberger, "die zahlt bei Computerviren normalerweise nicht".