In New York gibt es Geldautomaten für Bitcoins, eine digitale Währung. Wer sie nutzt und technisch versiert genug ist, kann Zahlungsgeschäfte anonym abwickeln - zumindest so lange, bis jemand mit Sachkenntnis und den technischen Mitteln richtig nachbohrt. Für Kriminelle, die Geld erpressen wollen, reicht das Maß an Anonymität aber offenbar aus. Sie verweisen ihre Opfer an die Automaten in New York.
Ihre Opfer haben zuerst Post erhalten, E-Mails mit Anhang. Dieser ist mit einer Schadsoftware versehen. Die Software übernimmt den Computer. Sämtliche Dateien - Fotos, Word- und Excel-Dokumente, die Musik-Sammlung - werden verschlüsselt und sind damit nicht mehr nutzbar. Dazu kommt ab und an auch ein Countdown. 24 Stunden - mal mehr, mal weniger - erhält das Opfer Zeit, dann sind die Dateien weg, drohen die Erpresser.
Solange der Countdown läuft, sind die Dateien weiterhin vorhanden, aber wie versperrt hinter einer Tür mit einem unknackbaren Vorhängeschloss. Auch moderne Rechner können den Code nicht entschlüsseln. Nur wer den Schlüssel besitzt, kann das Schloss öffnen. Den Schlüssel aber haben die Angreifer. Sie sind auch bereit, ihn zu übergeben. Nachdem die Opfer ein paar Bitcoin überwiesen haben, zum Beispiel über einen Automaten. Lösegeld-Erpressung, kombiniert mit eingebauter Anonymität. Daher der englische Name für die Software: Ransomware.
Experten raten, nicht zu zahlen
"Wir raten natürlich dazu, nicht zu zahlen", sagt Marcin Kleczynski, Gründer der Firma Malwarebytes. Seine Firma analysiert, wie die Kriminellen vorgehen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät davon ab zu zahlen. Die US-Bundespolizei empfahl einst zu zahlen. Von diesem Ratschlag ist die Behörde inzwischen zwar wieder abgerückt. Kleczynski weiß aber: "Wenn wichtige Dateien plötzlich weg sind und es nur ein paar Hundert Euro kostet, um sie wiederzubekommen, halten sich nur wenige an den Ratschlag. Sie zahlen."
Kleczynski sagt, dass die Webseite seiner Firma vor allem dann aufgerufen wird, wenn Menschen den Suchbegriff Ransomware eingeben. Ein Trend dafür, wie weitverbreitet das Phänomen mittlerweile sei. Diese Anfragen kommen zunehmend von Unternehmen. Wurden früher einzelne Nutzer attackiert, sind es nun also vermehrt Geschäftskunden. Es ist eine Entwicklung, die auch die IT-Sicherheitsfirma Kaspersky beobachtet. Mit 13 Prozent ist die Zahl zwar gering, aber: "Dank Verschlüsselungssoftware hat sich die Zahl der angegriffenen Geschäftskunden mehr als verdoppelt", heißt es in einer Untersuchung der Firma.
Neue Versionen, ohne Schwachstelle
Als Grund gibt Kleczynski an, dass sich solche Angriffe für Kriminelle zunehmend lohnen: "Die Gebühren sind höher, da Firmen sich das leisten können", sagt er. Zahlen normale Nutzer dreistellige Beträge, sind es bei Firmen mehr als 15 000 Euro. Der Angriffsweg ist dabei der gleiche. Die E-Mail mit Anhang, oder vermehrt schädliche Werbungen auf Webseiten.
Für die Angreifer reduziert sich die Arbeit mittlerweile auf Mausklicks. "Man kann sich einen fertigen Werkzeugkasten kaufen", sagt Kleczynski. Die Hersteller von Ransomware seien Firmen mit Marketing-Abteilungen, die ihr Produkt in Darknets (Teilen des Internets, die nicht per Google und vergleichbaren Suchmaschinen zu finden sind) verkaufen.
Doch Firmen wie Kaspersky und Malwarebytes versuchen, die Taktiken der Angreifer zu kontern, mit je unterschiedlichen Ansätzen. Malwarebytes veröffentlicht eine Software, die den Computer des Nutzers im Blick behält. Fängt dieser an, Dateien zu verschlüsseln, wird erst geprüft, ob es sich dabei um reguläres Verhalten handelt (wenn Nutzer zum Beispiel ihre Festplatte verschlüsseln). Ist das nicht der Fall, wird die entsprechende Datei daran gehindert, Aktionen durchzuführen. Kaspersky findet Schwachstellen im Code der Ransomware. Diese Lücken lassen sich mitunter ausnutzen, um so an den Schlüssel zu gelangen, ohne das Lösegeld bezahlen zu müssen.
Aber auch die Angreifer bleiben nicht untätig und bringen neue Versionen auf den Markt, ohne die Schwachstelle. Sie sind damit erfolgreich: Innerhalb von nur drei Wochen ist es ihnen nun gelungen, 50 000 Dollar zu erpressen, wie die IT-Sicherheitsfirma Sentinel One berichtet.
Für Nutzer, die sicher sein wollen, gelten vor allem zwei Ratschläge: Erstens lohnt es sich, sämtliche Software auf dem neuesten Stand zu halten. Zweitens sollte die Festplatte regelmäßig per Backup auf einer externen Festplatte gespeichert werden. Verschlüsselt der Angreifer die Dateien, kann man in diesem Fall vergleichsweise problemlos den (fast) alten Stand wiederherstellen.