Erpressungstrojaner sind Schadprogramme, über die Unbefugte Zugriff auf die Daten eines Computers erhalten. Die Erpressungssoftware wird auch als Ransomware bezeichnet. Ransomware trägt den englischen Begriff „ransom“ in sich – übersetzt: Lösegeld. Und genau das ist es, was mit einer Erpressungssoftware erreicht werden soll.
Ransomware – Erpressungssoftware verschlüsselt Daten
Ransomware hat ein klares Ziel: die Daten eines Computers stehlen, verschlüsseln und dem Inhaber nur noch unlesbare Dateien hinterlassen. Solche Schadprogramme werden auch als Kryptotrojaner bezeichnet. Sie befallen das gesamte Computersystem – inklusive aller angeschlossenen Geräte. Die Daten landen auf fremden Servern, verschlüsselt und unzugänglich. Wer wieder ran will, soll zahlen.
1989 – erste Ransomware entdeckt
Im Jahr 1989 wurde ein Programm namens „AIDS TROJAN DISK“ entdeckt – auf einer Diskette, in der Lage, Daten zu verschlüsseln. Es zeigte eine Meldung über eine angeblich abgelaufene Lizenz an und forderte den Kauf eines Schlüssels bei einem bestimmten Unternehmen. Damals wurde das nicht sofort als Erpressung erkannt. Der Programmierer wurde schliesslich identifiziert und verhaftet. Zum Vergleich: 2012 waren bereits mehr als 100’000 neue Erpressungsprogramme für das Internet bekannt.
Erpressungssoftware – von der Disk in das Internet
Der Schritt vom Datenträger ins Netz kam schnell. Das Schadprogramm TROJ_PGPCODER.A verbreitete sich bereits über das Internet und verschlüsselte Nutzerdaten gegen Hunderte von US-Dollar. Seither wurde die Software vielfach weiterentwickelt – heute kursieren zahlreiche Varianten, die gezielt Unternehmens- und Behörden-Computer angreifen. 2011 wurde ein Fall bekannt, bei dem ein einzelner Täter 831 Computer im Bundesland Sachsen-Anhalt infiziert hatte. Aus Untergrundforen im Darknet sind zudem Baukastensysteme bekannt – sogenannte Crimeware-Kits – die teils gratis, teils kostenpflichtig zur Programmierung von Ransomware genutzt werden.
Wie können Daten gesichert werden?
Für private PC-Nutzer gilt eine einfache Regel: externe Festplatte oder USB-Stick – aber nur zur Sicherung, danach abstöpseln. Ransomware verschlüsselt alles, was zum Zeitpunkt des Angriffs am System hängt. Wer die externe Platte dauerhaft angeschlossen lässt, verliert sie mit. Im Ernstfall: System neu aufsetzen, Backup zurückspielen. Anleitungen dazu gibt es von IT-Fachleuten online.
Für Unternehmen und Behörden gilt: Sicherungssysteme auf voneinander getrennten Systemen – und regelmässige Beratung durch IT-Spezialisten zum Thema Ransomware. Hat ein Trojaner Daten verschlüsselt, gilt trotzdem: nicht zahlen.
Ransomware – kein Geld zahlen
Kommunalverwaltungen und Behörden sollten Erpressungsversuchen nicht nachgeben. Das Bundeskriminalamt (BKA), die Bundesvereinigung der kommunalen Spitzenverbände und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sind sich einig: kein Lösegeld zahlen. Nach einem Angriff gehört Anzeige erstattet. Jedes Bundesland betreibt ein Computer Emergency Response Team (CERT) – das sollte ebenfalls informiert werden. Zusätzlich können sich Gemeinden und Städte direkt ans BSI wenden.
Ransomware – ein weltweites Problem
Ransomware trifft keine Zufallsziele. Behörden, Krankenhäuser, zentrale Verwaltungen – die verwalteten Daten sind sensibel, der Druck hoch. Nicht wenige Zuständige spielen in so einer Situation mit dem Gedanken, zu zahlen. In Handlungsempfehlungen an Kommunalverwaltungen wird das Vorgehen der Erpresser deshalb gezielt beschrieben.
Der typische Ablauf: Ein Schadprogramm gelangt per E-Mail-Anhang ins System. Ein Klick reicht – der Trojaner wird geladen, die Daten werden verschlüsselt. Kurz danach erscheint eine Mitteilung: wie viel zu zahlen ist und wohin. Viele Erpresser setzen auf Bitcoin oder Auslandskonten – der Zahlungsverkehr ist kaum nachverfolgbar.
Zahlung motiviert Nachahmer
Zahlt eine Kommunalverwaltung, ein Krankenhaus oder eine Behörde, motiviert das. Nicht nur die gleichen Täter – auch Nachahmer. Cyberkriminellen sollte keine Bestätigung gegeben werden, dass das Modell funktioniert. Wer zahlt, riskiert ausserdem, dass weitere Forderungen folgen. Eine Garantie, die Daten zurückzubekommen, gibt es nie.
Prävention ist essenziell
IT-Systeme aktuell halten, Angriffsvektoren schliessen, schnell reagieren können – das reduziert das Risiko spürbar. Dazu braucht es ein funktionierendes Informationssicherheits- und Notfallmanagement. Das BSI stellt entsprechende Präventionsinformationen bereit, abrufbar über die Allianz für Cyber-Sicherheit. Dort findet sich auch eine Liste der Zentralen Ansprechstellen für Cybercrime der Polizeien (ZAC) – inklusive Meldeformular.
Warum werden Behörden und Krankenhäuser angegriffen?
Weil der Druck dort am grössten ist. Behörden und Krankenhäuser verwalten sensible Bürger- und Patientendaten – die Erpresser rechnen damit, dass lieber gezahlt wird, als dass Daten verloren gehen. Zusätzlich lassen sich die Daten im Darknet weiterverkaufen. Die Trojaner GandCrab und Emotet haben es gezielt auf Firmen, Universitäten, Gerichte und ganze Gemeinden abgesehen. Technische Probleme und veraltete IT-Strukturen erleichtern das Eindringen. Und selbst wenn die Infrastruktur modern ist und ein Angriff trotzdem gelingt: unter keinen Umständen auf Lösegeldforderungen eingehen. Polizei- und Behördenstellen müssen informiert werden.
Hinweis: Der Autor übernimmt keine Verantwortung für die Richtigkeit der im Text gemachten Angaben. Des Weiteren wird auch keine Verantwortung für Links und verlinkte Inhalte übernommen.