Ransomware:Cyberkriminelle machen fette Beute - und Ermittler sind hilflos

'Enter Password' - Hacker

Früher lagen die Patientenakten im Schrank. Heute sind sie digitalisiert - und damit anfällig für Hackerangriffe.

(Foto: Oliver Berg/dpa)

Die Methoden der Hacker sind simpel, trotzdem fallen Millionen Menschen darauf herein.

Von Guido Bohsem, Simon Hurtz und Helmut Martin-Jung

"Und jetzt nehmen Sie bitte mal alle Ihre Smartphones heraus", ruft die Moderatorin, "was ist für Sie das wichtigste Thema dieser Messe?" Was bei der Cebit-Eröffnungsfeier diese Woche dann als meistgenannter Begriff auf die Leinwand projiziert wird, überrascht. Schließlich soll sich die Messe um Digitalisierung drehen, darum, wie die Vernetzung aller möglichen Geräte und Sensoren die gesamte Wirtschaft verändert. Eine gewaltige Chance für diejenigen, die es richtig machen. Doch als am wichtigsten empfinden die Leute: Security - Sicherheit.

Seit Computer weltweit verbreitet und über das Internet vernetzt sind, werden sie auch angegriffen. Doch heute geht es nicht mehr wie damals um Aufmerksamkeit, es geht um Geld, um viel Geld. "Kriminelle Banden ziehen Raubüberfälle mit Millionen-Beute ab, einfach indem sie E-Mails verschicken", sagt der Brite Raj Samani vom Sicherheitsunternehmen Intel Security. Besonders stark zugenommen haben in jüngster Zeit Angriffe mit schädlicher Software, die alle wichtigen Dateien auf Computern verschlüsselt. Das tut sie so raffiniert, dass die Daten mit vertretbarem Aufwand nicht wiederherzustellen sind - außer man hat den Schlüssel.

Die Ermittler sind bei Cyberkriminalität oft hilflos

Doch den haben die Kriminellen und sie rücken ihn - wenn überhaupt - nur gegen Bezahlung heraus. Das Problem für die Strafverfolger: Die Erpresser können weitgehend im Verborgenen agieren, sie nutzen Verschleierungsmethoden und Internetwährungen wie Bitcoin. Wer am Ende wo und wie viel kassiert, das können die Ermittler oft nicht sagen. Und selbst wenn, endet ihre Befugnis an den Grenzen ihrer Länder: "Wir kämpfen gegen einen Trend, der keine Grenzen kennt", sagt Samani. Haben die Kriminellen erst einmal Hunderte Millionen Dollar eingenommen, "reinvestieren sie auch in noch bessere Schadsoftware", sagt Samani.

Doch wie fängt sich ein Computer Schadsoftware ein? Das größte Risiko bei Firmen und Behörden, so der Verband der Internetwirtschaft, Eco, "sind oft die Mitarbeiter". Mit auf sie zugeschnittenen E-Mails würden Personen angegangen, die sich wenig mit Computern auskennen. Hilft also Schulung und Weiterbildung? Nicht immer.

Wenn es Kriminellen gelingt, unverdächtige Webseiten zu infizieren, reicht es womöglich bereits aus, eine solche Seite bloß aufzurufen. Der Trojaner kann sich etwa in der Werbung verstecken, dazu werden die Server des Werbeanbieters gekapert. Ohne dass der Nutzer etwas bemerkt, öffnen die tückischen Befehle Schleusen auf dem Computer. Durch diese wird übers Internet neue Software nachgeladen - und die verschlüsselt dann alle persönlichen Dateien. Für solche Attacken nutzen die Erpresser meist Lücken in verbreiteten Programmen aus.

Sicherheitsexperten werden immer wichtiger - doch sie sind rar

Weil die Verbrecher grenzenlos agieren, arbeiten immerhin eine Reihe wichtiger Länder, darunter die USA, Frankreich, Großbritannien und Deutschland, auf diesem Gebiet zusammen. In der Joint Cybercrime Action Taskforce (J-CAT) werden Informationen weitergegeben und gegebenenfalls die nötigen Schritte wie etwa Razzien koordiniert.

Doch es fehlen die Sicherheitsexperten - in der freien Wirtschaft ebenso wie bei den Behörden. Von den IT-Fachkräften, die etwa beim darauf spezialisierten internationalen Personaldienstleister Hays angefragt werden, machen allein Sicherheitsspezialisten rund 60 Prozent aus. Das Schwierige daran ist nicht bloß die hohe Spezialisierung, man muss auch einige Jahre Erfahrung gesammelt haben.

Die Zahl der Attacken in Deutschland stieg um das Zehnfache

Die Methode der Erpressung durch Verschlüsseln setzen Kriminelle bereits seit Ende der 1990er-Jahre ein. Die im Fachjargon Ransomware (gebildet aus Englisch: ransom, Lösegeld, und Software) genannten Schadprogramme täuschten anfangs die Verschlüsselung oft nur vor. Doch die Erpresser sind professioneller geworden. Bei Krypto-Locker etwa, einer verbreiteten Erpresser-Software, galt noch bis vor Kurzem ein einziger Schlüssel für alle Dateien. Doch bei der jüngsten Version wird für jede einzelne Datei ein eigener Schlüssel erzeugt. Das macht es weitaus schwerer, die Daten wieder lesbar zu bekommen.

Die Zahl der Attacken hat in den vergangenen Jahren stark zugenommen, bilanziert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Aber im vergangenen halben Jahr habe sich die Bedrohungslage noch einmal deutlich verschärft. Das BSI beobachtet seither große Wellen von Spam-E-Mails, über die Ransomware verteilt wird. Weltweit schlugen Virenschutzprogramme im Februar sechsmal häufiger Alarm als noch im Oktober 2015, in Deutschland stieg die Zahl sogar um das Zehnfache. Dabei geraten nicht nur Privatnutzer ins Visier, sondern zunehmend auch Unternehmen, Behörden und andere öffentliche Einrichtungen.

Zahlen oder nicht zahlen? Das FBI sagt: ja. Das BSI sagt: nein

Im Laufe weniger Monate traf es beispielsweise Krankenhäuser in Nordrhein-Westfalen und Bayern, sowie Verwaltungen. In Dettelbach entschloss man sich zu einem ungewöhnlichen Schritt: Die unterfränkische Stadt zahlte das geforderte Lösegeld, knapp 500 Euro, und bekam immerhin einen Teil der Daten ihrer Verwaltung zurück.

Doch ist das richtige Weg? Experten sind sich uneins. Die Erpresser verschlüsselten die Daten derart effektiv, dass es häufig die einfachste Möglichkeit sei, das Lösegeld zu zahlen, sagte ein hochrangiger FBI-Beamter im Oktober. Dieser Empfehlung widersprechen BSI, Polizei und Sicherheitsfirmen. Wenn viele Opfer zahlten, ermuntere das die Kriminellen zu weiteren Attacken. Außerdem gebe es keine Garantie, dass man die Daten zurückbekomme.

Und wie reagiert die Politik? Im vergangenen Jahr hatte die Koalition mit dem IT-Sicherheitsgesetz Wirtschaft und öffentliche Verwaltung in die Pflicht genommen, sich stärker gegen Attacken aus dem Netz abzusichern. Die minimalen Sicherheitsanforderungen für Krankenhäuser zum Beispiel sollen von Ende dieses Jahres an gelten. Der CDU-Netzpolitiker Thomas Jarzombek ruft dazu auf, die Auflagen als notwendig zu verstehen und auch so zu behandeln. "IT-Sicherheit muss Chefsache sein. Das darf man nicht wegdelegieren." Fehler in diesem Bereich zeigten sich zwar nicht sofort. Doch später seien die Auswirkungen um so schwerwiegender.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: