Erpressungstrojaner sind Schadprogramme, über die ein Unbefugter Zugriff auf die Daten eines Computers erhält. Die Erpressungssoftware wird auch als Ransomware bezeichnet. Ransomware trägt den englischen Begriff „ransom“ in sich und ransom bedeutet übersetzt „Lösegeld“. Und genau das ist es, was mit einer Erpressungssoftware erreicht werden soll.
Ransomware – Erpressungssoftware verschlüsselt Daten
Ransomware hat das Ziel, die Daten eines Computers zu stehlen und dem Computerinhaber nur verschlüsselte Daten zu hinterlassen. Ein solches Schadprogramm wird auch als Kryptotrojaner bezeichnet und hat es auf das gesamte Computersystem abgesehen. Alle Systeme, die an den PC angeschlossen sind, werden von der Ransomware befallen. Die Daten werden auf fremde Computer geladen und verschlüsselt. Der berechtigte Dateninhaber kann auf seine eigenen Daten nicht mehr zugreifen. Um die Daten wieder freizugeben, muss ein Lösegeld gezahlt werden.
1989 – erste Ransomware entdeckt
Im Jahr 2012 waren mehr als 100.000 neue Erpressungsprogramme für das Internet bekannt. Ransomware wird zahlreich programmiert und zum Schaden vieler Unternehmen und öffentlicher Einrichtungen eingesetzt. Im Jahr 1989 wurde ein Programm namens „AIDS TROJAN DISK“ entdeckt. Das Programm befand sich auf einer Diskette und konnte Daten verschlüsseln. Der Virus generierte eine Meldung über eine angeblich abgelaufene Lizenz. Ein Lizenzschlüssel sollte bei einem bestimmten Unternehmen erworben werden. Dieser Vorgang wurde nicht sofort als Erpressung erkannt. Der Programmierer dieses ersten Erpressungstrojaners konnte entdeckt und verhaftet werden.
Erpressungssoftware – von der Disk in das Internet
Der erste Erpressungstrojaner benötigte eine Diskette, um Daten zu verschlüsseln. Das Schadprogramm TROJ_PGPCODER.A wurde bereits im Internet verbreitet und sorgte für eine Verschlüsselung von Nutzerdaten. Um die Nutzerdaten zu entschlüsseln, sollten Hunderte von US-Dollar gezahlt werden. Die Erpressungssoftware wurde vielfach weiterentwickelt und im Internet sind zahlreiche Varianten unterwegs, die Unternehmens- und Behörden-Computer verschlüsseln. Im Jahr 2011 wurde ein Fall bekannt, bei dem ein Täter 831 Computer im Bundesland Sachsen-Anhalt mit Ransomware infiziert hatte. Es gibt viele weitere Fälle und Beispiele für Ransomware. Aus Untergrundforen im Darknet sind Baukastensysteme bekannt, die teils kostenfrei und teils kostenpflichtig sind. Die Baukastensysteme werden als Crimeware-Kits bezeichnet und werden zur Programmierung von Ransomware genutzt.
Wie können Daten gesichert werden?
Private PC-Nutzer können ihre Daten auf einer externen Festplatte oder einem USB-Stick sichern. Eine Erpressungssoftware verschlüsselt alle Daten in einem System. Das bedeutet, dass alle angeschlossenen Festplatten und Server eines Systems von dem Trojaner befallen werden. Die externe Festplatte sollte nur zur Datensicherung eingesetzt werden und nach der Sicherung nicht mehr am Computer angeschlossen sein. Im Falle einer Datenverschlüsselung kann das PC-System neu aufgesetzt und installiert werden. Ratgeber, was bei Verschlüsselung der Daten zu tun ist, sind von Experten im Internet zu finden. Große Unternehmen und auch Behörden sollten auf Sicherungssysteme und Server setzen, die voneinander getrennten Systemen besitzen. Es ist sinnvoll, dass sich Behörden und Unternehmen von IT-Experten zum Thema Ransomware beraten lassen. Hat ein Erpressungstrojaner Daten verschlüsselt, dann sollte den Erpressungsversuchen nicht nachgegeben werden.
Ransomware – kein Geld zahlen
Kommunalverwaltungen und andere Behörden sollten den Erpressungsversuchen nicht nachgeben und bei Verschlüsselung von Daten grundsätzlich kein Lösegeld zahlen. Sowohl das Bundeskriminalamt (BKA) als auch die Bundesvereinigung der kommunalen Spitzenverbände und das Bundesamt für Sicherheit in der Informationstechnik (BSI) raten dazu, Geldzahlungen zu unterlassen. Hat ein Trojaner-Angriff mit Verschlüsselungssoftware stattgefunden, dann sollten Gemeinde und Städte diesen sofort anzeigen. Jedes Bundesland besitzt ein Computer Emergency Response Team (CERT), das ebenfalls von dem Angriff unterrichtet werden sollte. Gemeinde und Städte können sich nach einem Angriff auch an das BSI wenden.
Ransomware – ein weltweites Problem
Schadsoftware ist ein weltweites Problem und es kommt häufig zu Attacken auf wichtige IT-Strukturen. Schadsoftware-Attacken werden auf zentrale Einrichtungen, wie beispielsweise Behörden und Krankenhäuser durchgeführt. Die verwalteten Daten sind sensibel und nicht wenige Zuständige spielen mit dem Gedanken, das Lösegeld zu zahlen, um die Daten zurückzuerhalten. In Handlungsempfehlungen, die an Kommunalverwaltungen und andere Behörden geschickt wurden, wird das Vorgehen der Erpresser genau beschrieben.
Die Erpresser schleusen ein Schadprogramm in das IT-System der jeweiligen Behörde ein. Das kann beispielsweise in Form einer E-Mail mit Anhang geschehen. Wird auf den Anhang geklickt, dann wird der Erpressungstrojaner heruntergeladen und die Daten des jeweiligen IT-Systems werden verschlüsselt. In der Folge erhält der PC-Nutzer eine Mitteilung, wie viel Lösegeld zu zahlen ist und wohin das Lösegeld überwiesen werden soll. Viele Erpresser nutzen Bitcoin-Währungen oder Auslandskonten und der Zahlungsverkehr ist nur schwer nachvollziehbar.
Zahlung motiviert Nachahmer
Zahlt eine Kommunalverwaltung, ein Krankenhaus oder eine andere Behörde die angegebene Lösegeldsumme, dann motiviert das Nachahmer dazu, solche Angriffe zu wiederholen. Cyberkriminellen sollte nicht nachgegeben werden und es sollte ihnen die Motivation zu den Angriffen genommen werden. Bei Erfolg werden die Angriffe in der Regel ausgeweitet und weiterentwickelt. Des Weiteren ist die Zahlung der geforderten Lösegeldsumme keine Garantie, dass die Daten zurückerhalten werden. Den Erpresser hält nichts davon ab, weitere Forderungen zu erheben.
Prävention ist essenziell
IT-Angriffen vorzubeugen und die IT-Systeme den modernen Anforderungen anzupassen, das ist eine Möglichkeit, Ransomware-Attacken zu reduzieren. Systematische Prävention wird in dem Zusammenhang verlangt. Es ist wichtig, die Attacke zu erkennen und schnell zu reagieren. Dazu wird ein effektives Informationssicherheits- und Notfallmanagement benötigt. Das BSI stellt Informationen zu Präventionsmaßnahmen zur Verfügung. Die Informationen sind auf den Webseiten der Allianz für Cyber-Sicherheit zu finden. Auf den Webseiten der Allianz für Cyber-Sicherheit ist zudem eine Liste mit Adressen der Zentralen Ansprechstellen für Cybercrime der Polizeien zu finden. ZAC ist die Abkürzung für „Zentrale Ansprechstelle Cybercrime“, die der Polizei als Meldestelle dient. Ein entsprechendes Meldeformular ist ebenfalls auf den Webseiten der Allianz für Cyber-Sicherheit erhältlich.
Warum werden Behörden und Krankenhäuser angegriffen?
Behörden und Krankenhäuser verwalten sensible Bürger- und Patientendaten. Die Erpresser erhoffen sich, dass an den sensiblen Stellen lieber gezahlt wird, als das Daten verloren gehen. Des Weiteren können die Daten zum Weiterverkauf, beispielsweise im Darknet, genutzt werden. Die Erpressungstrojaner GandCrab und Emotet haben es auch auf Firmen, Universitäten, Gerichte und ganze Gemeinden abgesehen. Es wird davon ausgegangen, dass technische Probleme und veraltete IT-Strukturen bei Behörden und Krankenhäusern es den Erpressern einfach machen, in die IT-Systeme einzudringen. Selbst wenn eine moderne IT-Struktur vorliegt und dem Trojaner das Eindringen und die Verschlüsselung gelingt, sollte unter keinen Umständen auf die Lösegeldforderung eingegangen werden. Die zuständigen Polizeidienststellen und die zuständigen Behördenstellen sollten über einen Angriff informiert werden.
Hinweis: Der Autor übernimmt keine Verantwortung für die Richtigkeit der im Text gemachten Angaben. Des Weiteren wird auch keine Verantwortung für Links und verlinkte Inhalte übernommen.