Hacker-Angriffe So funktioniert Erpresser-Software

Illustration: Stefan Dimotrov

Plötzlich sind die liebsten Urlaubsbilder in Gefahr: Kriminelle verschlüsseln fremde Computer und erpressen ihre Opfer.

Von Hakan Tanriverdi, New York

In New York gibt es Geldautomaten für Bitcoins, eine digitale Währung. Wer sie nutzt und technisch versiert genug ist, kann Zahlungsgeschäfte anonym abwickeln - zumindest so lange, bis jemand mit Sachkenntnis und den technischen Mitteln richtig nachbohrt. Für Kriminelle, die Geld erpressen wollen, reicht das Maß an Anonymität aber offenbar aus. Sie verweisen ihre Opfer an die Automaten in New York.

Ihre Opfer haben zuerst Post erhalten, E-Mails mit Anhang. Dieser ist mit einer Schadsoftware versehen. Die Software übernimmt den Computer. Sämtliche Dateien - Fotos, Word- und Excel-Dokumente, die Musik-Sammlung - werden verschlüsselt und sind damit nicht mehr nutzbar. Dazu kommt ab und an auch ein Countdown. 24 Stunden - mal mehr, mal weniger - erhält das Opfer Zeit, dann sind die Dateien weg, drohen die Erpresser.

Solange der Countdown läuft, sind die Dateien weiterhin vorhanden, aber wie versperrt hinter einer Tür mit einem unknackbaren Vorhängeschloss. Auch moderne Rechner können den Code nicht entschlüsseln. Nur wer den Schlüssel besitzt, kann das Schloss öffnen. Den Schlüssel aber haben die Angreifer. Sie sind auch bereit, ihn zu übergeben. Nachdem die Opfer ein paar Bitcoin überwiesen haben, zum Beispiel über einen Automaten. Lösegeld-Erpressung, kombiniert mit eingebauter Anonymität. Daher der englische Name für die Software: Ransomware.

Experten raten, nicht zu zahlen

"Wir raten natürlich dazu, nicht zu zahlen", sagt Marcin Kleczynski, Gründer der Firma Malwarebytes. Seine Firma analysiert, wie die Kriminellen vorgehen. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) rät davon ab zu zahlen. Die US-Bundespolizei empfahl einst zu zahlen. Von diesem Ratschlag ist die Behörde inzwischen zwar wieder abgerückt. Kleczynski weiß aber: "Wenn wichtige Dateien plötzlich weg sind und es nur ein paar Hundert Euro kostet, um sie wiederzubekommen, halten sich nur wenige an den Ratschlag. Sie zahlen."

Kleczynski sagt, dass die Webseite seiner Firma vor allem dann aufgerufen wird, wenn Menschen den Suchbegriff Ransomware eingeben. Ein Trend dafür, wie weitverbreitet das Phänomen mittlerweile sei. Diese Anfragen kommen zunehmend von Unternehmen. Wurden früher einzelne Nutzer attackiert, sind es nun also vermehrt Geschäftskunden. Es ist eine Entwicklung, die auch die IT-Sicherheitsfirma Kaspersky beobachtet. Mit 13 Prozent ist die Zahl zwar gering, aber: "Dank Verschlüsselungssoftware hat sich die Zahl der angegriffenen Geschäftskunden mehr als verdoppelt", heißt es in einer Untersuchung der Firma.