Das Unheil naht in Form eines angeblichen Bewerbungsschreibens, das sich am Freitag im E-Mail-Postfach der Germeringer Autozubehörfirma AZG befindet. Da bewirbt sich ein gewisser Marcel Meier in tadellosem Deutsch um eine Stelle. Als der als Anhang beigefügte Lebenslauf angeklickt wird, schnappt die Falle zu, ohne dass dies zunächst jemand bemerkt. In der Nacht auf den Samstag installiert sich Schadsoftware, die den Zugang zu allen Computern verwehrt. Am Samstagmorgen stehen die Mitarbeiter der im Gewerbegebiet Nord ansässigen Firma fassungslos vor den Bildschirmen. Auf denen ist nur noch die Forderung von Erpressern zu lesen. Den digitalen Schlüssel zum Entfernen des Programms gebe es erst nach Zahlung von umgerechnet 4000 Euro - zu transferieren in der Internetwährung Bitcoin. Angegeben ist auch eine russische E-Mail-Adresse.
Mittlerweile ist Anton Schober schon wieder etwas entspannter. Seit Mittwochmorgen laufen die Computer wieder. Gezahlt hat er das Lösegeld nicht. Man wisse auch gar nicht, ob die Kriminellen wirklich den Computer freischalten oder einfach abkassieren und dann erneut Forderungen stellen. Stattdessen hat Anton Schober am Montag Anzeige bei der Germeringer Polizei erstattet. Nun befasst sich die Kriminalpolizei Fürstenfeldbruck mit dem Fall. Einen solchen habe man noch nicht gehabt, heißt es.
Fachbehörden wie das Bundesamt für Sicherheit in der Informationstechnik raten davon ab, Forderungen zu erfüllen, auch weil dies zum Nachahmen motiviert. So wie im Februar, als der Trojaner Teslacrypt die IT-Systeme der bayerischen Kleinstadt Dettelbach in der Nähe von Würzburg lahmlegte. Die Stadt zahlte die geforderten 500 Euro Lösegeld in Form von Bitcoins. Daten konnten anschließend zwar teilweise wiederhergestellt werden, die Kommune geriet aber ins Kreuzfeuer der Kritik.
Ein sofort alarmierter EDV-Experte beißt sich in der Germeringer Firma zunächst die Zähne aus an der Betrugssoftware. Da habe man "schlichtweg verloren", räumt er ein. Ein paar Tage lang tappen sie also bei AZG buchstäblich im Dunkeln, sind abgeschnitten vom Warenwirtschaftsprogramm, können beispielsweise in der Werkstatt eingelagerte Reifen nicht dem jeweiligen Kunden zuordnen. Und ihnen wird einmal mehr bewusst, wie abhängig moderne Betriebe heute von Internet und elektronischer Datenverarbeitung sind. Immerhin kann der IT-Spezialist aus Sicherungskopien, die regelmäßig und angelegt werden, alle wichtigen Kundendaten wiederherstellen.
Mit den infizierten Bewerbungen auf Stellen, die von den Unternehmen teilweise wirklich ausgeschrieben worden sind, richten sich die kriminellen Programmierer oftmals ganz gezielt an die jeweilige Personalabteilung. Als Absender verwenden sie Pseudonyme wie Marcel oder Andreas Meier sowie Rolf Drescher. Virenscanner erkennen die Schadsoftware, die sich vor allem in Deutschland und Österreich verbreitet, bislang kaum.
Mike Belschner vom Portal Onlinewarnungen.de rät zu äußerster Vorsicht bei Anhängen - erst recht, wenn es sich um ein Bewerbungsschreiben in dem dafür ungewöhnlichen Excel-xls-Format handelt. Gefährlich sein können auch Dateien mit den Endungen .exe oder .js sowie Links zu dubiosen Internetseiten. Werden infizierte Anhänge angeklickt, nistet sich der Computervirus vermutlich tief im Windows-System ein und versucht, weitere Software nachzuladen. Im besten Fall zeigt der Trojaner nur Werbeanzeigen und Popups an. Im schlimmsten lädt die Malware den Erpressungstrojaner nach, der die Festplatte verschlüsselt. Belschners Tipp für den Fall, dass der Virus bereits aktiviert worden ist: den PC schnell ausschalten. Denn offen ist bislang, ob durch das Tool auch Daten in einer Cloud verschlüsselt werden, die vom PC aus eingerichtet worden ist.