Brigitte Frieben-Safar betreibt ein Übersetzungsbüro in Bonn. Gleichzeitig betreut sie gemeinsam mit einem IT-Berater das Computersystem der Düsseldorfer Kanzlei. „Wir haben sofort erkannt worum es sich handelt und den Rechner aus dem Netzwerk genommen“, sagt sie. Dadurch sei verhindert worden, dass sich der Computervirus auf den Server der Kanzlei und auf die anderen Computer ausbreiten konnte. Erpressertrojaner, auch Ransomware genannt (nach „ransom“, englisch für Lösegeld), sind Schadprogramme, die die Kontrolle über den Computer und den Zugriff auf Daten einschränken, um Lösegeld von den Betroffenen zu erpressen. Die kriminellen Urheber gehen dabei völlig wahllos vor. Die Trojaner werden meist per E-Mail im Internet gestreut. Den Tätern ist es dabei völlig egal, ob es Privatnutzer, Unternehmen oder öffentliche Einrichtungen wie Krankenhäuser oder Behörden trifft, welche Folgen ein lahmgelegtes Computersystem dort haben kann oder was ein Angriff bei den Betroffenen auslöst.

Die Erpresserbotschaft auf dem Bildschirm versetzte die Mitarbeiter in der Düsseldorfer Kanzlei zunächst in einen regelrechten Schockzustand. „Fast auf den Tag genau vor zwei Jahren verübte ein früherer Klient einen Anschlag auf das Büro. Der Amokläufer tötete zwei Anwälte und setzte die Kanzlei in Brand“, erinnert sich Frieben-Safar. Der Cyberangriff habe daher zunächst ungute Assoziationen geweckt. Attacken aus dem Internet, nicht bloß durch Erpresser-Trojaner, sind mittlerweile für jedes Unternehmen ein ernstes Risiko geworden.

Der Schaden, der für die deutschen Wirtschaft aus Cyberangriffen erwächst, wird dem Bundesinnenministerium zufolge pro Jahr auf mindestens 50 Milliarden Euro geschätzt. Besonders kleine und mittlere Unternehmen sind gefährdet, denn sie unterschätzten die Bedrohung häufig. Ausgearbeitete Sicherheitskonzepte hätten weniger als ein Drittel dieser Unternehmen. Dabei war das Risiko, Opfer eines Cyber-Erpressungsversuch zu werden, nie höher als im Moment. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mit Sitz in Bonn zufolge wird seit Dezember 2015 massenhaft Ransomware verteilt. Der Security-Software-Firma Symantec zufolge ist Deutschland bei den Erpressern besonders im Visier. Rund 6000 Angriffe auf Computer zählte das amerikanische Unternehmen im vergangenen Jahr. Auf der Liste der meisten Attacken, liegt Deutschland damit weltweit auf Platz zwei.

Locky, KeRanger,Tesla X3 oder Petya lauten die Namen der Trojaner, mit denen Kriminelle heutzutage, Geld von PC-Nutzern erpresse wollen. In fast allen Fällen gelangen die infizierten Dateien über E-Mail-Anhänge oder durch unbeabsichtigtes Herunterladen von einer Website auf den Rechner. Ständig kursieren neue, den Antivirus-Programmen unbekannte Versionen dieser Programme durchs Internet. Und die Kriminellen gehen immer skrupelloser vor. Eine neue Variante nennt sich „Jigsaw“. Der Trojaner verschlüsselt die Daten auf dem befallenen Rechner nicht nur, er gibt Betroffenen zudem einen 72-stündigen Countdown vor. Zu jeder neuen Stunde löscht der Virus Dateien von der Festplatte, solange bis Lösegeld gezahlt wurde. Das Beispiel zeigt: Die Evolution der Computerviren schreitet voran und die Gefahren nehmen zu. Lösungen wie für den Jigsaw-Trojaner sind allerdings Ausnahmen.

Immer wieder kommt es daher vor, dass Unternehmen, die Forderung der Erpresser erfüllen, um schnellstmöglich den Zugriff auf das eigene Netzwerk zurückzuerlangen und etwa Produktionsausfälle gering zu halten. Das war auch die Reaktion einer Firma aus Ahrweile, nachdem ihr Computersystem im Februar vom Locky-Virus lahmgelegt worden war (der GA berichtete). Gezahlt hatte die Firma mit Bitcoin, einer virtuelle Währung deren Eigentümer nicht ermittelbar ist. Das Bundesamt für Sicherheit in der Informationstechnik mit Sitz in Bonn rät allerdings dringend davon ab, den Forderungen nachzukommen, da dies keinesfalls garantiere, dass danach die Daten dauerhaft freigegeben werden. „Mit jeder bezahlten Infektion steigt damit die Wahrscheinlichkeit für den Betroffenen noch einmal, vielleicht sogar über raffiniertere Verfahren, infiziert zu werden“, heißt es in einem aktuellen Themenpapier, dass das BSI im März herausgegeben hat.

Die Anwaltskanzlei Lauppe & Hasskamp hat sich geweigert, Lösegeld zu zahlen. Möglich wurde das, dank regelmäßiger Sicherung aller Daten (auch Backup genannt) auf externen Festplatten. „Der betroffene Rechner musste komplett neu aufgebaut werden“, erinnert sich Frieben-Safar. „Das hat uns natürlich in unserer sonstigen Arbeit zurückgeworfen.“ Obwohl die Kanzlei den Cyberangriff so schadlos überstand, habe sich in der Einstellung der Mitarbeiter etwas verändert. „Man hat das Vertrauen in die Sicherheit komplett verloren. Am Anfang herrschte regelrecht Angst, irgendeine Email zu öffnen“, so Frieben-Safar. Immer wieder schlägt das Virenprogramm der Kanzlei seitdem an. „Die Gefahr kommt in neuem Gewand jeden Tag wieder.“

Tatsächlich ist das Backup laut BSI die wichtigste Maßnahme, um sich gegen Angriffe durch Ransomware zu wappnen. Das Entscheidende dabei: Die Daten müssen offline gesichert sein, das heißt, die Festplatten müssen vom Netzwerk getrennt sein. Ansonsten können auch sie bei einem Angriff befallen werden. Schulungen, in denen Mitarbeiter lernen, potenziell gefährliche Emails zu erkennen, sind für Unternehmen eine weitere Möglichkeit, die Sicherheit zu erhöhen. Darauf hoffen, dass das Problem auf Täterseite gelöst wird, sollte jedenfalls niemand. Die Aufklärungsquote bei Cyberkriminalität lag 2014 im Bereich „Datenveränderung und Computersabotage“ mit 17,7 Prozent weit unter der Aufklärungsquote insgesamt. Laut Bundeskriminalamt sind im Bereich der Cyber-Kriminalität sowohl Einzeltäter als auch international organisierte Tätergruppen aktiv. Um an Ransomware zu gelangen, müssen Täter nicht einmal „Hacker“ sein. Sie können sie in einschlägigen Foren der „Underground Economy“ erwerben.