Fälle in Bremen und Niedersachsen

Erpresser-Software verlangt Lösegeld

Im digitalen Zeitalter gehen Erpressungen weit über anonyme Schreiben aus ausgeschnittenen Buchstaben, einen Anruf mit verstellter Stimme hinaus. Die Verfolgungsjagd geht um den ganzen Globus, das Lösegeld ist virtuell.
12.11.2015, 00:00
Lesedauer: 5 Min
Zur Merkliste
Erpresser-Software verlangt Lösegeld
Von Lisa Boekhoff
Erpresser-Software verlangt Lösegeld

Ein anonymes Schreiben aus ausgeschnittenen Buchstaben, ein Anruf mit verstellter Stimme, ein Geldkoffer und vielleicht obendrauf eine Verfolgungsjagd: Das sind die Bestandteile einer Erpressung in alten Fernseh-Krimis. Im digitalen Zeitalter läuft die längst anders. Die Verfolgungsjagd geht um den ganzen Globus, niemand muss mehr mit dem Klebestift Buchstaben aufbringen, das Lösegeld ist virtuell. Gezahlt wird in Bitcoins in ein Portemonnaie aus Nullen und Einsen.

Mit sogenannter Ransomware nehmen Betrüger bestimmte Dateien, Programme oder teils den ganzen Rechner in Geiselhaft. Sie verschlüsseln diese so, dass der Nutzer keinen Zugriff mehr auf sie hat. Die Schadsoftware landet über falsche Mails oder Links auf dem Computer. Ein sich selbstöffnendes Fenster, ein Pop-up-Fenster, erscheint und verlangt für die Freigabe Geld in Form der virtuellen Währung Bitcoins. Ransom ist das englische Wort für Lösegeld.

Der Student Matthias Döring weiß, wie sich die Erpressung anfühlt. Vor einiger Zeit verschlüsselten Cyber-Kriminelle seine wichtigsten Dateien. Dabei hatte der 34-Jährige gerade einen neuen Virenscanner installiert. „Der Rechner arbeitete plötzlich. Tata: Die Meldung der Erpresser kam.“ Das Perfide: Gleichzeitig sei ein Countdown gestartet. „Sollte ich in den nächsten 24 Stunden die Bitcoins zahlen, sollten die Daten für 300 Dollar wieder entschlüsselt werden.“ Andernfalls steige das Lösegeld. Nachdem er alles versucht hatte, den PC zu retten, entschied er sich für den radikalen Schritt und löschte alles. Die Daten, Seminararbeiten und Fotos, bekam Döring, damals Student in Hannover, zum Glück alle zurück, weil er sie beim Speicherdienst Dropbox gesichert hatte. Ein großer Schrecken bleibt ihm bis heute. Und er ist nicht allein.

„Chimera“ betrifft Norden

Matthias Möhring, Leiter der Zentralstelle Cybercrime im Landeskriminalamt Niedersachsen, sagt, das Phänomen Ransomware habe insgesamt zugenommen und trete in immer neuen Varianten auf. Gerade sei eine relativ neue Schadsoftware unterwegs, die sowohl Privatpersonen und vor allem mittelständische Unternehmen in Niedersachsen getroffen habe.

Auch die Polizei Bremen bestätigt, dass sie derzeit in mehreren solcher Fälle ermittelt. Die Ransomware „Chimera“ gelange durch schadhafte Mails auf die Rechner, erklärt Möhring das Prinzip. Diese behaupten, dass sich Bewerbungsschreiben oder Auftragsangebote in ihrem Anhang befinden. Wer diesen öffnet, dessen Daten und auch Netzwerkdaten werden verschlüsselt und sind nicht mehr zugreifbar. Die Botschaft der Erpresser erscheint: Wenn nicht ein gewisser Betrag an Bitcoins gezahlt werde, würden die persönlichen Daten im Netz veröffentlicht werden – etwa Fotos. In den bekannten Fällen werden umgerechnet 500 bis 1000 Euro verlangt.

Auch Tim Griese, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), beobachtet eine generelle Zunahme der Vorfälle. Die Hersteller von Sicherheitssoftware hinkten hinterher „Die Software ändert sich zum Teil stündlich. Das ist ein Wettrennen.“ Wenn der Verteidiger gerade eine Abwehrmethode entwickele, suche der Angreifer schon wieder nach neuen Möglichkeiten. „Teils ändern die Täter nur Kleinigkeiten, die aber ausreichen, dass die Signatur der Antivirensoftware nicht mehr passt.“ Die Angreifer würden nur so hoch springen, wie sie müssten, aber die Software sei „sehr viel besser geworden“. Fehler in der Sprache und Grammatik, Anzeichen einer Betrugsmail, gebe es zwar noch, aber weniger. Der sogenannte BKA-Trojaner gab sich sogar als Bundeskriminalamt aus, um zu erpressen.

FBI: Software zu gut

Während die Schadsoftware anfangs häufig nur suggerierte, Zugriff auf den Rechner zu haben und relativ leicht zu bekämpfen war, seien die Daten heute oft tatsächlich verschlüsselt, sagt Möhring. „Die entsprechenden Schadprogramme sind immer professioneller gestaltet.“ Für die Betroffenen könnten empfindliche Schäden eintreten. Tim Griese vom BSI bewertete Ransomware als extremes Druckmittel für Unternehmen. Wenn Kundendaten verloren gingen, leide die Reputation erheblich. Während große Konzerne meist abgesichert seien durch IT-Abteilungen, hätten kleine Unternehmen teils kaum Schutz. Die Investitionen seien hoch, manchmal fühlten die Firmen sich auch nicht bedroht.

Diskussion erregte kürzlich der FBI-Ermittlungsleiter Joseph Bonavolonta. Auf dem Cyber Security Summit in Boston soll er nach Medienberichten gesagt haben, dass das FBI den Unternehmen teils sogar empfehle, das Lösegeld zu zahlen, weil die Ransomware zu gut sei. Sonst bestehe die Gefahr, dass deren Daten verloren seien.

Wenn es Drohungen gibt, sollte der erste Weg zur Polizei gehen, sagt Rechtsexperte Gerrit Cegielka von der Verbraucherzentrale Bremen. „Sie weiß, ob etwas dahintersteckt.“ Aber zahlen? „Letztendlich sollte man der Erpressung nicht nachgehen“, sagt Cegielka. „Man muss sich wehren.“

Matthias Möhring hält die Aussage des Ermittlers dagegen für ehrlich. „Der Betroffene muss für sich selbst entscheiden.“ Auch das LKA berate in jedem Einzelfall individuell. Denn die Verschlüsselung der Ransomware sei schwierig, weshalb sie auch zum Schutz von Dateien und Mails eingesetzt wird. Mit einem Algorithmus werden die Inhalte gesperrt. Diese Verschlüsslung lässt sich nur mit einem Passwort rückgängig machen, das der Täter nach der Zahlung behauptet rauszugeben. Ob das tatsächlich passiert, könne niemand versprechen. Manchmal folge auf die Zahlung nur eine neue Forderung, so Möhring. „Verschlüsslung ist eigentlich etwas Positives. Das Problem entsteht, wenn man den Schlüssel nicht hat.“

Hohe Dunkelziffer

Wie viele „Chimera“-Fälle es in Niedersachsen gibt, könne man tatsächlich erst im Nachhinein nach einer Auswertung sagen. Einige Opfer kämen auch verspätet zur Polizei – viele gar nicht. Möhring geht von einer hohen Dunkelziffer aus: „Von zehn Straftaten wird maximal eine gemeldet.“ Die Opfer hätten Hemmschwellen, zur Polizei zu gehen. „Vielleicht haben sie nicht die entsprechende Software benutzt oder sie misstrauen der Polizei.“ Dennoch: Der Weg zu ihr sei richtig, sagen Griese und Möhring. Als Laie könne man die Gefahr nicht einschätzen, so der LKA-Mann. In diesem Bereich gebe es viele Trittbrettfahrer, die manchmal nur behaupteten, die Daten verschlüsselt zu haben. „Dann hat man womöglich mit Zitronen gehandelt, wenn man zahlt.“ Griese kennt Fälle, in denen Nutzer sogar dreimal zahlten.

Wie kann man sich schützen?

Die regelmäßige Datensicherung auf einer externen Festplatte nennen Griese und Möhring die beste Schutzmaßnahme gegen Ransomware. Nach Griese ist außerdem wichtig, ein Antivirenprogramm zu nutzen, eine Firewall zu aktivieren, Software auf dem neusten Stand zu halten oder zu löschen, wenn man sie nicht braucht, um die Angriffsfläche zu verringern. Und: „Erst denken, dann klicken.“ Die Regeln sind nicht neu, werden aber laut Griese oftmals nicht befolgt. „Es ist tragisch, dass die Täter gar keine neuen Sicherheitslücken suchen müssen, weil viele alte noch gar nicht geschlossen sind.“

Wenn der Rechner befallen sei, könne man ihn durch entsprechende Software retten. Manchmal helfe aber nur, den ganzen PC neu aufzusetzen. Die Daten sind dann in der Regel verloren.

Auch Matthias Döring stieß bei seiner Internet-Recherche auf wenig Hilfreiches. Der Tenor: Wer sich Ransomware eingefangen habe, habe eben Pech gehabt. Er sei aber mit einem blauen Auge davongekommen. „Es ist schon verrückt, dass der Schaden durch das Netz entsteht und man dann dort nach einer Lösung sucht.“

Jetzt sichern: Wir schenken Ihnen 1 Monat WK+!
Mehr zum Thema
Lesermeinungen

Das könnte Sie auch interessieren

Das Beste mit WK+