Der Spiegel - 02.11.2019

(Brent) #1

D


as Erste, was Tobias Frömel durch
den Kopf geht, ist: »Oh, fuck«.
Es ist ein Wochenende Anfang
Oktober, der Softwareentwickler
muss noch an einem Auftrag arbeiten. Frö-
mel fährt seinen Rechner hoch. Doch an
seine Daten kommt er nicht mehr heran,
die Dateien lassen sich nicht öffnen. In
jedem Ordner liegt dafür nun eine Datei
mit dem Namen: Readme_for_Decrypt.txt,
also: »Lies mich zum Entschlüsseln«. Als
Frömel sie öffnet, findet er den Link zu ei-
ner Anleitung, wie er seine Daten befreien
kann – und eine Lösegeldforderung.
Frömel ist Opfer von Muhstik gewor-
den, einer Ransomware oder: Erpresser-
software. Ein solches Programm verschlüs-
selt Dateien, Ordner oder ganze Laufwer-
ke, raffiniertere Versionen machen selbst
Sicherungskopien unbrauchbar. Auf den
Bildschirmen der Betroffenen erscheint oft
eine Lösegeldforderung, verlangt werden
in der Regel Zahlungen in Bitcoin oder an-
deren Kryptowährungen. Bezahlen die
Opfer, bekommen sie den Schlüssel zu ih-
ren Dateien – sofern sie Glück haben und
die Täter einen Rest Anstand.
Frömel hat Glück. Er zahlt die ver -
langten 0,09 Bitcoin, zu diesem Zeitpunkt
umgerechnet 670 Euro, und bekommt den
Schlüssel. »Ich musste dreimal durch -
rechnen, ob ich mir das leisten kann«,
schreibt er dem SPIEGELin einer Mail.
»Am Ende hatte ich noch 67 Euro auf dem
Konto.«
Die Verschlüsselungstrojaner haben sich
zu einer weltweiten Plage entwickelt – für
Privatpersonen, aber vor allem für Unter-
nehmen. Die europäische Polizeibehörde
Europol hält Ransomware für »die größte
Cybercrime-Bedrohung im Jahr 2019«.
Die Attacken seien im Gegensatz zu früher
»gezielter, bringen den Tätern mehr ein
und verursachen größeren ökonomischen
Schaden«, heißt es in einem aktuellen Be-
richt der Behörde.
Auch das deutsche Bundesamt für Si-
cherheit in der Informationstechnik (BSI)
ist alarmiert: Verschlüsselungsangriffe
seien derzeit »die größte Cybersicherheits-
Bedrohung für Unternehmen, Organi -
sationen und Einrichtungen des Gemein-
wesens«, sagt BSI-Präsident Arne Schön-
bohm. Seine Behörde warnt seit Jahren
vor derartigen Angriffen, vor allem vor de-
nen steigender »Qualität«.
Allein die Bochumer IT-Sicherheitsfir-
ma G Data hat seit Jahresbeginn rund
200 000 Varianten der bekanntesten Ran-
somware-Familien erkannt. Das bedeutet:
gut alle zwei Minuten eine neue.
Immer wieder gelingt es den Angreifern,
komplette Betriebe lahmzulegen. Erst im
Oktober traf es den deutschen Mittelständ-
ler Pilz, einen Spezialisten für Steuerungs-
technik aus dem Raum Stuttgart: Hacker
griffen sämtliche Firmenserver an und ver-


schlüsselten die darauf befindlichen Daten.
»Wir werden erpresst«, gab der geschäfts-
führende Gesellschafter Thomas Pilz auf
dem Maschinenbaugipfel in Berlin zu, »es
geht um nichts anderes als um Geld. Es
sind ganz gemeine Verbrecher, die über
das Verschlüsseln der Daten Geld machen
möchten.«
Pilz wollte auf keinen Fall zahlen – des-
halb blieb der Firma nichts anderes übrig,
als alle Computersysteme vom Netz zu
nehmen. Tagelang mussten die Mitarbei-
ter auf Papier und Whiteboards zurück-
greifen und konnten nur per Telefon und
Messenger miteinander kommunizieren.

Ransomware sollte spätestens seit 2017
den meisten Firmen ein Begriff sein. Da-
mals legte das Schadprogramm WannaCry
weltweit Unternehmen, Behörden und an-
dere Institutionen lahm. Die globale Atta-
cke traf Schwergewichte wie Telefónica,
FedEx, Renault und die Deutsche Bahn.
Wenige Wochen nach der WannaCry-
Welle machte der nächste Verschlüsselungs-
trojaner namens Petya/NotPetya weltweit
Schlagzeilen: Betroffen waren diesmal un-
ter anderem die Reederei Maersk und der
Nivea-Hersteller Beiersdorf. Der sollte Me-
dienberichten zufolge 300 Dollar Lösegeld
pro Rechner zahlen – und lehnte ab. Nicht
nur die Computer an den Schreibtischen
standen daraufhin still, sondern auch die
Bänder in den Fabriken. Weltweit wird
der Schaden, den NotPetya angerichtet
hat, auf zehn Milliarden Dollar geschätzt.

Im Fall von WannaCry beschuldigten
die USA Nordkorea, im Fall von NotPetya
Russland. In den meisten Fällen aber dürf-
ten hinter den Angriffen nicht staatliche
Akteure, sondern Kriminelle stehen.
Bleibt die Frage, warum Unternehmen
auf eine längst bekannte Bedrohung ein-
fach keine Antwort finden. Sind die Opfer
noch zu arglos oder die Täter schon zu
gewieft?
Klar ist: Niemand sollte glauben, für die
Kriminellen uninteressant zu sein. Größe,
Bekanntheit und Finanzkraft eines Unter-
nehmens oder einer Stadtverwaltung spie-
len keine Rolle, es kann jeden treffen.
Manchmal sind es schlichte, automatisierte
Massenangriffe über Spam-Mails. Manch-
mal kundschaften die Täter Passwörter,
E-Mail-Verläufe und Finanzkraft ihrer Op-
fer erst akribisch aus, um danach die pas-
senden Lösegeldforderungen zu stellen.
Obwohl die Angriffe immer professio-
neller und häufiger werden, ist es Betrof-
fenen geradezu peinlich, darüber zu spre-
chen. Wer nicht gesetzlich verpflichtet ist,
einen Vorfall zu melden, wie es etwa Be-
treiber kritischer Infrastruktur sind, infor-
miert bestenfalls noch das BSI und dessen
Allianz für Cyber-Sicherheit, der mittler-
weile knapp 4000 Unternehmen angehö-
ren. Firmen, die bekanntermaßen Opfer
von Ransomware geworden sind, wollen
keine Details preisgeben – auch aus Angst,
erneut ins Visier zu geraten. Wer bereit ist
zu reden, will seinen Namen nicht veröf-
fentlicht sehen.
So wie ein Sanitätshaus in Norddeutsch-
land. Die Infektion mit der Ransomware
GandCrab fand spätabends im Mai statt.
Am nächsten Morgen stellten die Mitar-
beiter fest, dass ihre Programme nicht wie
gewohnt funktionierten. »Für die sah es
nach einem Systemabsturz aus«, sagt der
zuständige IT-Projektmanager.
Doch schnell war klar, dass alle wichti-
gen Server befallen waren. Die Lösegeld-
forderung betrug 0,3 Bitcoin – pro befal-
lener Datei. Bei Zig- oder gar Hunderttau-
senden Dateien ergab das eine Millionen-
summe, die das Sanitätshaus nie hätte auf-
bringen können. Ein Hinweis darauf, dass
die Firma eher zufällig zum Opfer wurde.
Weil Bezahlen keine Option war, mach-
te sich das Sanitätshaus an die Rettung sei-
ner IT-Systeme. Es gelang zunächst nicht,
die Sicherungskopien einzuspielen. Erst
weitere IT-Experten bekamen das Pro-
blem unter Kontrolle. »Nach 36 Stunden
hatten wir die Firma wieder funktions -
fähig«, sagt der Projektleiter.
Anders als bei den Angreifern geht es
für die Opfer um mehr als nur um Geld:
Krankenhäuser in Australien und den USA
mussten wegen Ransomware-Angriffen
Operationen verschieben. Das Lukaskran-
kenhaus in Neuss musste eine Zeit lang
Boten einsetzen, die wichtige Unterlagen

DER SPIEGEL Nr. 45 / 2. 11. 2019 67

Wirtschaft

Teure Sicherheit
Ausgaben für IT-Absicherung in Deutschland,
in Mrd. Euro

Quellen: Bitkom, IDC

Prognose

2020

4,9


2018

4,1


2017

3,7


2016

3,4


2015

3,1


2014

2,7


Niemand sollte glauben,
für die Kriminellen
uninteressant zu sein. Es
kann jeden treffen.
Free download pdf