Der Spiegel - 02.11.2019

D

as Erste, was Tobias Frömel durch
den Kopf geht, ist: »Oh, fuck«.
Es ist ein Wochenende Anfang
Oktober, der Softwareentwickler
muss noch an einem Auftrag arbeiten. Frö-
mel fährt seinen Rechner hoch. Doch an
seine Daten kommt er nicht mehr heran,
die Dateien lassen sich nicht öffnen. In
jedem Ordner liegt dafür nun eine Datei
mit dem Namen: Readme_for_Decrypt.txt,
also: »Lies mich zum Entschlüsseln«. Als
Frömel sie öffnet, findet er den Link zu ei-
ner Anleitung, wie er seine Daten befreien
kann – und eine Lösegeldforderung.
Frömel ist Opfer von Muhstik gewor-
den, einer Ransomware oder: Erpresser-
software. Ein solches Programm verschlüs-
selt Dateien, Ordner oder ganze Laufwer-
ke, raffiniertere Versionen machen selbst
Sicherungskopien unbrauchbar. Auf den
Bildschirmen der Betroffenen erscheint oft
eine Lösegeldforderung, verlangt werden
in der Regel Zahlungen in Bitcoin oder an-
deren Kryptowährungen. Bezahlen die
Opfer, bekommen sie den Schlüssel zu ih-
ren Dateien – sofern sie Glück haben und
die Täter einen Rest Anstand.
Frömel hat Glück. Er zahlt die ver -
langten 0,09 Bitcoin, zu diesem Zeitpunkt
umgerechnet 670 Euro, und bekommt den
Schlüssel. »Ich musste dreimal durch -
rechnen, ob ich mir das leisten kann«,
schreibt er dem SPIEGELin einer Mail.
»Am Ende hatte ich noch 67 Euro auf dem
Konto.«
Die Verschlüsselungstrojaner haben sich
zu einer weltweiten Plage entwickelt – für
Privatpersonen, aber vor allem für Unter-
nehmen. Die europäische Polizeibehörde
Europol hält Ransomware für »die größte
Cybercrime-Bedrohung im Jahr 2019«.
Die Attacken seien im Gegensatz zu früher
»gezielter, bringen den Tätern mehr ein
und verursachen größeren ökonomischen
Schaden«, heißt es in einem aktuellen Be-
richt der Behörde.
Auch das deutsche Bundesamt für Si-
cherheit in der Informationstechnik (BSI)
ist alarmiert: Verschlüsselungsangriffe
seien derzeit »die größte Cybersicherheits-
Bedrohung für Unternehmen, Organi -
sationen und Einrichtungen des Gemein-
wesens«, sagt BSI-Präsident Arne Schön-
bohm. Seine Behörde warnt seit Jahren
vor derartigen Angriffen, vor allem vor de-
nen steigender »Qualität«.
Allein die Bochumer IT-Sicherheitsfir-
ma G Data hat seit Jahresbeginn rund
200 000 Varianten der bekanntesten Ran-
somware-Familien erkannt. Das bedeutet:
gut alle zwei Minuten eine neue.
Immer wieder gelingt es den Angreifern,
komplette Betriebe lahmzulegen. Erst im
Oktober traf es den deutschen Mittelständ-
ler Pilz, einen Spezialisten für Steuerungs-
technik aus dem Raum Stuttgart: Hacker
griffen sämtliche Firmenserver an und ver-

schlüsselten die darauf befindlichen Daten.

»Wir werden erpresst«, gab der geschäfts-

führende Gesellschafter Thomas Pilz auf

dem Maschinenbaugipfel in Berlin zu, »es

geht um nichts anderes als um Geld. Es

sind ganz gemeine Verbrecher, die über

das Verschlüsseln der Daten Geld machen

möchten.«

Pilz wollte auf keinen Fall zahlen – des-

halb blieb der Firma nichts anderes übrig,

als alle Computersysteme vom Netz zu

nehmen. Tagelang mussten die Mitarbei-

ter auf Papier und Whiteboards zurück-

greifen und konnten nur per Telefon und

Messenger miteinander kommunizieren.

Ransomware sollte spätestens seit 2017

den meisten Firmen ein Begriff sein. Da-

mals legte das Schadprogramm WannaCry

weltweit Unternehmen, Behörden und an-

dere Institutionen lahm. Die globale Atta-

cke traf Schwergewichte wie Telefónica,

FedEx, Renault und die Deutsche Bahn.

Wenige Wochen nach der WannaCry-

Welle machte der nächste Verschlüsselungs-

trojaner namens Petya/NotPetya weltweit

Schlagzeilen: Betroffen waren diesmal un-

ter anderem die Reederei Maersk und der

Nivea-Hersteller Beiersdorf. Der sollte Me-

dienberichten zufolge 300 Dollar Lösegeld

pro Rechner zahlen – und lehnte ab. Nicht

nur die Computer an den Schreibtischen

standen daraufhin still, sondern auch die

Bänder in den Fabriken. Weltweit wird

der Schaden, den NotPetya angerichtet

hat, auf zehn Milliarden Dollar geschätzt.

Im Fall von WannaCry beschuldigten

die USA Nordkorea, im Fall von NotPetya

Russland. In den meisten Fällen aber dürf-

ten hinter den Angriffen nicht staatliche

Akteure, sondern Kriminelle stehen.

Bleibt die Frage, warum Unternehmen

auf eine längst bekannte Bedrohung ein-

fach keine Antwort finden. Sind die Opfer

noch zu arglos oder die Täter schon zu

gewieft?

Klar ist: Niemand sollte glauben, für die

Kriminellen uninteressant zu sein. Größe,

Bekanntheit und Finanzkraft eines Unter-

nehmens oder einer Stadtverwaltung spie-

len keine Rolle, es kann jeden treffen.

Manchmal sind es schlichte, automatisierte

Massenangriffe über Spam-Mails. Manch-

mal kundschaften die Täter Passwörter,

E-Mail-Verläufe und Finanzkraft ihrer Op-

fer erst akribisch aus, um danach die pas-

senden Lösegeldforderungen zu stellen.

Obwohl die Angriffe immer professio-

neller und häufiger werden, ist es Betrof-

fenen geradezu peinlich, darüber zu spre-

chen. Wer nicht gesetzlich verpflichtet ist,

einen Vorfall zu melden, wie es etwa Be-

treiber kritischer Infrastruktur sind, infor-

miert bestenfalls noch das BSI und dessen

Allianz für Cyber-Sicherheit, der mittler-

weile knapp 4000 Unternehmen angehö-

ren. Firmen, die bekanntermaßen Opfer

von Ransomware geworden sind, wollen

keine Details preisgeben – auch aus Angst,

erneut ins Visier zu geraten. Wer bereit ist

zu reden, will seinen Namen nicht veröf-

fentlicht sehen.

So wie ein Sanitätshaus in Norddeutsch-

land. Die Infektion mit der Ransomware

GandCrab fand spätabends im Mai statt.

Am nächsten Morgen stellten die Mitar-

beiter fest, dass ihre Programme nicht wie

gewohnt funktionierten. »Für die sah es

nach einem Systemabsturz aus«, sagt der

zuständige IT-Projektmanager.

Doch schnell war klar, dass alle wichti-

gen Server befallen waren. Die Lösegeld-

forderung betrug 0,3 Bitcoin – pro befal-

lener Datei. Bei Zig- oder gar Hunderttau-

senden Dateien ergab das eine Millionen-

summe, die das Sanitätshaus nie hätte auf-

bringen können. Ein Hinweis darauf, dass

die Firma eher zufällig zum Opfer wurde.

Weil Bezahlen keine Option war, mach-

te sich das Sanitätshaus an die Rettung sei-

ner IT-Systeme. Es gelang zunächst nicht,

die Sicherungskopien einzuspielen. Erst

weitere IT-Experten bekamen das Pro-

blem unter Kontrolle. »Nach 36 Stunden

hatten wir die Firma wieder funktions -

fähig«, sagt der Projektleiter.

Anders als bei den Angreifern geht es

für die Opfer um mehr als nur um Geld:

Krankenhäuser in Australien und den USA

mussten wegen Ransomware-Angriffen

Operationen verschieben. Das Lukaskran-

kenhaus in Neuss musste eine Zeit lang

Boten einsetzen, die wichtige Unterlagen

DER SPIEGEL Nr. 45 / 2. 11. 2019 67

Wirtschaft

Teure Sicherheit

Ausgaben für IT-Absicherung in Deutschland,

in Mrd. Euro

Quellen: Bitkom, IDC

Prognose

2020

4,9

2018

4,1

2017

3,7

2016

3,4

2015

3,1

2014

2,7

Niemand sollte glauben,

für die Kriminellen

uninteressant zu sein. Es

kann jeden treffen.