Virtuelle Erpressung:Wie Hacker Ihre Daten kidnappen können

Virtuelle Erpressung: Illustration: Stefan Dimitrov

Illustration: Stefan Dimitrov

  • Immer wieder werden Computernutzer Opfer sogenannter Ransomware. Kriminelle verschlüsseln Dateien der Opfer und fordern Lösegeld.
  • In den seltensten Fällen können die Erpresser belangt werden.

Von Helmut Martin-Jung

Das Unheil kam per Mail. Sie enthielt einen Verweis auf eine angebliche Bewerbung, die zum Herunterladen bereitstehe. Doch beim Online-Speicheranbieter Dropbox wartete stattdessen eine tückische Software. Sie machte sich auf dem Computer des Betroffenen breit und begann ihr Werk. Alle Dateien, die mit Microsofts Office angelegt worden waren, also etwa Excel-Tabellen oder Word-Dateien sowie Dateien im Format PDF wurden verschlüsselt - auch solche auf Netzlaufwerken. Und sie ließen sich nur mit dem passenden Softwareschlüssel wieder entsperren.

Doch den hatten nicht die betroffenen mittelständischen deutschen Firmen, sondern ein Erpresser irgendwo im Ausland, der Geld sehen wollte. Die Masche mit sogenannter Ransomware - Schadprogrammen also, die mit Erpressung arbeiten - ist nicht neu. Doch die Bande hinter der Schadsoftware Chimera ging einen Schritt weiter: Den Betroffenen wurde nicht bloß gedroht, dass sie ihre Daten nur mit dem Schlüssel wieder nutzbar machen könnten. Die Erpresser kündigten auch an, sensible Daten zu veröffentlichen, falls kein Lösegeld gezahlt werde - von privaten Fotos bis hin zu Geschäftsgeheimnissen.

Chimera erregte auch deswegen Aufsehen, weil die Erpresser sich ihre Opfer sehr gezielt ausgesucht hatten - die Mails gingen unter anderem an die Personalsachbearbeiter der Firmen. Die Angreifer hatten sich also vorher genau informiert: "In der Branche nennt man die Leute, die das machen, Profiler", sagt Markus Schaffrin, Leiter sicherheitsrelevanter Projekte beim Verband der deutschen Internetwirtschaft (Eco) in Köln. Das Thema Ransomware kennt man dort schon seit Jahren. Immer wieder taucht es in neuen Varianten auf: Mal werden Computerspieler angegriffen, mal Smartphone-Besitzer, ein anderes Mal sind es Apple-Nutzer. Zwölf Millionen Deutsche haben einer Studie der Sicherheitsfirma Symantec zufolge schon Erfahrungen mit Internetkriminalität gemacht, 17 Prozent erlitten dabei einen finanziellen Schaden, davon fast ein Fünftel durch Ransomware.

Es gab auch Fälle, erzählt Schaffrin, in denen Menschen von einem angeblichen Support-Mitarbeiter angerufen wurden. Der versuchte, die Angerufenen dazu zu bringen, ein Update einzuspielen - in Wahrheit war es eine Erpressungs-Software. "Da wird ein hoher Aufwand getrieben", sagt Schaffrin, "offenbar reicht es, wenn einige Opfer das Lösegeld bezahlen." Verlangt werden meistens einige Hundert Euro, bei Attacken auf Firmen auch mehr.

Eco empfiehlt grundsätzlich, nicht zu zahlen - anders übrigens als die amerikanische Bundespolizei FBI. Manchmal sei dies die einfachste und billigste Methode, wieder an seine Daten zu kommen, riet FBI-Experte Joseph Bonavolonta kürzlich einem Fachpublikum. Die Verschlüsselung sei zu gut, um sie zu knacken. Bleibt die Frage, ob die Erpresser den Schlüssel auch herausrücken. Eine Garantie dafür gibt es aber nicht.

Deshalb hält es Schaffrin auch für besser, vorzusorgen. Zum einen damit, die eigenen Geräte stets auf dem aktuellen Softwarestand zu halten - also die Updates von Betriebssystem und Programmen regelmäßig einzuspielen. Zum anderen durch regelmäßige Backups. Wer seine Daten regelmäßig sichert, muss keine Angst vor Erpressern haben, sondern kann den Rechner neu aufsetzen und die Daten wieder herstellen. Aber: Nur Sicherungen, die auch funktionieren, erfüllen ihren Zweck. Bei besonders wertvollen Daten schadet es also nicht, hin und wieder zu prüfen, ob diese auch ohne Probleme wieder hergestellt werden können.

Wer Opfer eines Erpressungs-Trojaners geworden ist, sollte sich an die Polizei wenden und auch im Netz nach der verwendeten Variante suchen. Denn für etliche dieser Programme sind die Schlüssel inzwischen bekannt. Eine niederländische Hightech-Spezialeinheit der Polizei sowie der Sicherheitsanbieter Kaspersky haben für die Trojaner CoinVault und Bitcryptor die Schlüssel erhalten, Kaspersky hat daraufhin ein Programm geschrieben, mit dem sich die Dateien wieder entschlüsseln lassen. Die Autoren der bösartigen Software wurden verhaftet.

5,25 Milliarden

Dateien soll allein die Erpresser-Software CryptoWall zwischen Mitte März und Ende August 2014 verschlüsselt haben. Knapp 1700 Opfer zahlten ein Lösegeld von insgesamt mehr als 1,1 Milliarden Dollar. Die verlangten Summen variierten zwischen 200 und 10 000 Dollar, bei den meisten verlangten die Erpresser 500 Dollar.

Doch das gelingt nur in seltenen Fällen. Da das Lösegeld mittlerweile meist in der Kryptowährung Bitcoin bezahlt werden muss, lassen sich die Geldflüsse kaum nachverfolgen. Beim CoinVault-Fall, bei dem zwei junge Niederländer, zur Tatzeit 18 und 22 Jahre alt, verhaftet wurden, war es Kaspersky gelungen, die Spur der bösartigen Software zu verfolgen - auch das ist oft sehr schwierig. Die beiden hatten mindestens 1500 Windows-Computer attackiert, die meisten davon in ihrem Heimatland, in Deutschland, den USA, Frankreich und England.

Oft tauchen die Erpresser unter, wenn eine Kampagne erfolgreich war - die Chimera-Erpresser etwa sind nach einer Welle von Angriffen im Oktober nicht mehr aktiv. Doch das Problem bleibt. Viele Sicherheitsexperten sehen Ransomware als eine Bedrohung, die auch in den nächsten Jahren akut bleiben wird. McAfee, das inzwischen zu Intel gehört, prophezeit, dass künftig noch mehr Firmen und Behörden ins Fadenkreuz der Online-Erpresser geraten würden.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: