Wählen Sie Ihre Nachrichten​

Cyber-Erpressung: Das Geschäft mit Verschlüsselungs-Trojanern
Panorama 3 Min. 13.05.2017

Cyber-Erpressung: Das Geschäft mit Verschlüsselungs-Trojanern

Online-Kriminelle geben die durch eine Trojaner-Software verschlüsselten Daten erst wieder nach Zahlung eines Lösegelds frei.

Cyber-Erpressung: Das Geschäft mit Verschlüsselungs-Trojanern

Online-Kriminelle geben die durch eine Trojaner-Software verschlüsselten Daten erst wieder nach Zahlung eines Lösegelds frei.
Foto: Shutterstock
Panorama 3 Min. 13.05.2017

Cyber-Erpressung: Das Geschäft mit Verschlüsselungs-Trojanern

Nathalie RODEN
Nathalie RODEN
Bisher waren Erpressungstrojaner eher ein Problem des kleinen Verbrauchers. Die globale Attacke von Freitag ist nun ein Weckruf, das Milliarden-Geschäft der Online-Kriminellen zu bekämpfen. Denn dahinter steckt eine eingespielte Industrie.

(dpa) - Die Computer-Ausfälle rund um die Welt ließen sofort an das Horrorszenario eines Cyber-Kriegs denken: Infrastruktur wie Krankenhäuser, Telekom-Netze, Versorger oder Verkehrsbetriebe als Ziel. Doch die Rechner in britischen Kliniken, bei Telefónica und Iberdrola in Spanien oder der Deutschen Bahn wurden am Freitag nicht von einer gezielten ausgeklügelten Attacke lahmgelegt.

Dahinter steckte lediglich einer dieser Erpressungstrojaner, mit denen Online-Kriminelle Verbraucher und Unternehmen tagtäglich im Visier haben. Man braucht nur auf einen präparierten Link in einer scheinbar harmlosen E-Mail zu klicken - und schon ist der Computer verschlüsselt und die Angreifer verlangen Geld, um ihn wieder freizuschalten.

Operationen abgesagt

Dass die Attacke diesmal binnen weniger Stunden so eine verheerende Wucht mit mindestens 75 000 befallenen Rechnern in 99 Ländern entwickelte, geht vor allem auf zwei Umstände zurück: Zum einen hatten Hacker vor Monaten Informationen zu Schwachstellen ins Netz gestellt, die zuvor heimlich vom US-Abhördienst NSA genutzt worden waren.

Zum anderen hatte Microsoft zwar bereits im März ein Update veröffentlicht, das die Lücke stopfte - aber viele Computer weltweit waren immer noch nicht auf dem neuesten Stand. Über die Schwachstelle konnte sich das Schadprogramm auf diese Rechner ausbreiten - auch ohne dass irgendjemand die Infektion erst mit einem unbedachten Klick entfesseln musste.

Die größte Aufmerksamkeit bekam der Stillstand der britischen Krankenhäuser in London, Blackpool, Hertfordshire und Derbyshire - schließlich hätten hier Menschen zu Schaden kommen können. Operationen mussten abgesagt werden, Hausärzte konnten Patienten, die eine dringende Behandlung brauchten, nicht einweisen. Ärzte kamen nicht an Labordaten und digital gespeicherte Röntgenbilder.

Die gute Nachricht ist allerdings, dass die Attacken am Freitag auch bei den betroffenen Infrastruktur-Unternehmen nicht die kritischen Systeme niederrissen. Obwohl es Rechner vieler Telefónica-Mitarbeiter erwischte, funkte das Netz des Telekom-Konzerns weiter. Iberdrola lieferte weiter Strom und bei der Deutschen Bahn fuhren Züge, auch wenn Passagiere manche Fahrplan-Anzeigen nicht lesen konnten - weil diese von der Lösegeld-Nachricht der Erpresser verdeckt wurden. Im vergangenen Herbst mussten die Nahverkehrsbetriebe in San Francisco die Fahrten noch kostenlos anbieten, weil ein Erpressertrojaner die Ticket-Automaten befiel.

Der Autobauer Renault hat unterdessen die Produktion in einigen Werken in Frankreich gestoppt. Der Schritt sei „Teil von Schutzmaßnahmen, um eine Ausbreitung der Schadsoftware zu verhindern“, sagte ein Firmensprecher der Nachrichtenagentur AFP am Samstag. Nach Informationen aus Gewerkschaftskreisen sei das Werk in Sandouville in der Region Seine-Maritime mit rund 3400 Mitarbeitern besonders betroffen, hieß es. Aus dem Werk kommen vor allem Nutzfahrzeuge wie der Renault Trafic.

Jeder Dritte zahlt

Die sogenannte „Ransomware“-Software bereitet IT-Sicherheitsfirmen, die Computer von Verbrauchern, Unternehmen und Behörden schützen, schon seit Jahren immer mehr Kopfschmerzen. Laut Zahlen der Sicherheitssoftware-Firma Symantec wuchs das Ausmaß der Attacken im vergangenen Jahr um 36 Prozent. Inzwischen komme auf jeweils 131 weltweit verschickte E-Mails eine mit bösartigen Links oder Anhängen. In Deutschland sei es sogar eine pro 94 Mails. „Das war ein Höchststand nach einem kontinuierlichen Anstieg über fünf Jahre“, sagte Symantec-Experte Candid Wüest zur Vorstellung des Berichts.

Und es ist ein lukratives Geschäft für die Angreifer mit Hunderten Millionen Dollar im Umlauf. Obwohl Experten stets davon abraten, sich auf die Forderung der Erpresser einzulassen, wird immer wieder bezahlt. Weltweit überweise rund jeder Dritte das meist in der Internet-Währung Bitcoin eingeforderte Lösegeld, ergab die Symantec-Untersuchung. In den USA sind es sogar fast zwei Drittel der Betroffenen und in Deutschland immerhin 16 Prozent.

Im Schnitt seien 1077 Dollar bezahlt worden - dreieinhalb Mal mehr als noch 2015. „Solange die Leute bezahlen, können die Angreifer das Lösegeld bis zur Schmerzgrenze hochschrauben“, sagt Wüest. Zugleich geht der Anstieg auch auf den Kursaufschwung der Digitalwährung Bitcoin zurück. Sie steigt seit dem vergangenen Jahr und knackte zuletzt die Marke von 1700 Dollar pro Bitcoin.

Eingespielte Industrie

Ransomware ist inzwischen eine eingespielte Industrie. In der digitalen Unterwelt kann man Software und Infrastruktur für Attacken mieten, über Online-Glücksspiel und Pre-Paid-Kreditkarten werden die Lösegeld-Einnahmen gewaschen. „Einige der Gruppen haben sich auf Unternehmen wie Anwaltskanzleien und Krankenhäuser spezialisiert - und davon werden wir in Zukunft noch mehr sehen“, sagt Wüest. Zunehmend seien auch Cloud-Datenbanken im Visier. Das Problem werde dadurch zugespitzt, dass viele Unternehmen selbst im Gesundheitswesen ihre Computer nicht auf dem neuesten Stand hielten oder auf veralteten Systemen wie Windows XP laufen ließen, warnt Raj Samani von der IT-Sicherheitsfirma McAfee.

Privatnutzer und Firmen, die zahlen, finanzieren die Angreifer, die dadurch mehr Ressourcen haben, nach Schwachstellen zu suchen oder sie zu kaufen. „Zugleich sehen wir aber auch, dass die meisten Gruppen das Geld nicht groß wieder investieren, sondern eher verprassen“, sagt Wüest.


Lesen Sie mehr zu diesem Thema

Erpressungssoftware: Luxemburg bleibt zunächst verschont
Nach dem zweiten massiven Angriff mit Erpressungssoftware innerhalb von zwei Monaten kämpfen Firmen rund um den Globus mit den Folgen der Cyber-Attacke. Im Großherzogtum wurde bis zum Mittwochnachmittag kein entsprechender Fall bekannt.
Lust auf noch mehr Wort?
Lust auf noch mehr Wort?
7 Tage gratis testen
E-Mail-Adresse eingeben und alle Inhalte auf wort.lu lesen.
Fast fertig...
Um die Anmeldung abzuschließen, klicken Sie bitte auf den Link in der E-Mail, die wir Ihnen gerade gesendet haben.