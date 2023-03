Ransomware-Angriffe: Trojanische E-Mails befinden sich in Umlauf

Von: Edgar Haab

Ransomware-Angriffe können zu Erpressung und Datenklau führen. © Lino Mirgeler/dpa

Zwei Unternehmen aus dem Landkreis Diepholz sind 2022 zum Opfer eines Ransomware-Angriffes gefallen. Erpressung und Datenklau können im schlimmsten Fall die Folgen einer solchen Attacke sein.

Landkreis Diepholz – Täglich werden in Deutschland über zwei Milliarden E-Mails verschickt. Im Schnitt ist jede zweite davon eine unerwünschte Spam-Mail, heißt es in einem Statistik-Bericht zur Lage der Cyber-Sicherheit vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Hinter diesen E-Mails können sich sogenannte Ransomware-Angriffe (siehe Infokasten) verbergen, denen 2022 zwei Unternehmen aus dem Landkreis Diepholz zum Opfer gefallen sind. Erpressung und Datenklau können im schlimmsten Fall die Folgen einer solchen Attacke sein.

Ransomware-Angriffe Der Begriff Ransomware steht für eine Art von Schadprogrammen, die den Zugriff auf Daten und Systeme einschränken oder unterbinden. Für die Freigabe wird dann ein Lösegeld (englisch: Ransom) verlangt. Entweder sperrt ein solches Schadprogramm den kompletten Zugriff auf das System oder es verschlüsselt bestimmte Nutzerdaten. Besonders verbreitet ist Ransomware, die sich gegen Windows-Rechner richtet. Prinzipiell aber können alle Systeme von Ransomware befallen werden. Quelle: Bundesamt für Sicherheit in der Informationstechnik

Jens Meyer, Kriminalhauptkommissar im Team Cybercrime bei der Polizeiinspektion Diepholz, erklärt auf Anfrage der Kreiszeitung, was genau hinter diesen trojanischen Spam-Mails und den darin enthaltenen Ransomware-Angriffen steckt. Und was die Täter von klassischen „Hackern“ unterscheidet: „Ein Hacker greift zielgerichtet einen Account an – wie ein Einbrecher sich ein Haus aussucht. In den hier bearbeiteten Fällen haben die Geschädigten auf Spam-Mails reagiert, über die dann automatisiert Schadsoftware installiert wurde. Der Täter ist also gar nicht selbst ,eingebrochen‘. Es war dem Zufall überlassen, wo und wann Daten verschlüsselt werden“.

Firmen können auch zielgerichtet angegangen werden

Es gebe allerdings auch Ransomware-Fälle, in denen Firmen zielgerichtet angegangen werden. Dann werden auch die Forderungen der Täter dem Umsatz der Firma angepasst. Auch Privatpersonen können betroffen sein. Darüber hinaus gebe es auch Fälle, bei denen die Computer von Privatpersonen gesperrt werden. „Dort werden aber keine Daten verschlüsselt. Dieses Phänomen kommt heute nur noch ganz selten vor. Es war als sogenannter BKA-Trojaner bekannt“, erklärt Jens Meyer.

2022 ermittelte die Polizeiinspektion Diepholz in zwei Fällen von Ransomware, bei einer Zahnarztpraxis und einer Physiopraxis. Dazu, wie hoch die Dunkelziffer sein könnte, kann Jens Meyer nach eigener Aussage keine Einschätzung abgeben. Schwerwiegende Folgen blieben für die Einrichtungen im Landkreis Diepholz aus. Die Server mussten allerdings wieder neu aufgesetzt werden. „Die ,Infektionen‘ fanden wahrscheinlich über eine Spam-Mail statt, deren Anhang oder ein Link von den Mitarbeitern geöffnet wurde“, sagt der Kriminalhauptkommissar.

Täter geben Hinweise auf das weitere Vorgehen oder stellen Forderungen

Reagieren Personen auf die Spam-Mail, wird in der Folge Schadsoftware auf dem Server/PC installiert, der in der Folge – teilweise Tage oder Wochen später – alle Dateien verschlüsselt. Eine Textdatei der Täter verbleibt unverschlüsselt. Darin geben sie dann Hinweise für das weitere Vorgehen oder stellen bereits Forderungen, erklärt Jens Meyer den Ablauf eines Ransomware-Angriffes.

Mit jedem Fall von Ransomware gehe auch eine Erpressung und Geldforderung einher. Die Forderungen können sich in ihrer Höhe stark unterscheiden. Wissen die Täter, welche Firma betroffen ist, passen sie ihre Forderungen dem Umsatz der Firma an. „Den Tätern geht es in den Ransomware-Fällen nur um Geld“, so Meyer.

Das Verschlüsseln der Daten führe in den meisten Fällen zu einem mehr oder weniger umfangreichen Arbeitsausfall. Das könne bei großen Firmen zu wirtschaftlichen Schäden in Millionenhöhe führen. Dazu kommen die Kosten für das IT-Unternehmen, das die Systeme wieder herstellt, oder, falls das nicht möglich ist, die Lösegeldsumme.

Umsichtiger Umgang mit E-Mails und Virenprogramme können schützen

Gegen Ransomware-Angriffe würden ein gutes Virenprogramm und ein umsichtiger Umgang mit E-Mails helfen. Letzteres sei laut Meyer nicht immer ganz einfach: „Eine absolute Sicherheit wird man nicht erreichen können“. Auch der allgemeine Ratschlag, regelmäßig Sicherheitskopien anzulegen, sei laut dem BSI eine wirksame Ransomware-Prävention. Denn im Falle eines Angriffs lassen sich damit Datenbestände auch ohne Lösegeldzahlung rekonstruieren.

Der Anteil an Cyber-Kriminalität steige, von Schwankungen abgesehen, kontinuierlich. Bei der Polizeiinspektion Diepholz wurden deshalb in den zurückliegenden Jahren spezielle Organisationseinheiten für die Bearbeitung von Cybercrime-Delikten eingerichtet. In Diepholz sei das das „Team Cybercrime“ im Fachkommissariat 3. Dort bearbeiten die Beamten unter anderem Betrugs- und Wirtschaftsdelikte.

Ransomware-Angriffe sind nicht meldepflichtig

Der Wirtschaftsförderung vom Landkreis Diepholz sind laut Pressesprecherin Mareike Rein keine Ransomware-Angriffe auf Unternehmen im Landkreis Diepholz bekannt. „Allerdings können seitens der Kreisverwaltung auch keine validen Daten zu diesem Themenbereich geliefert werden, da keine Meldepflicht für solche Angriffe besteht“, erklärt Mareike Rein.

Unternehmen hätten aber die Möglichkeit, über die Webseite der Allianz für Cyber-Sicherheit einen Sicherheitsvorfall zu melden. Diese Meldungen werden verwendet, um ein verlässliches und aussagekräftiges Lagebild zu erstellen, mögliche Zusammenhänge zu erkennen und darauf basierend entsprechende Maßnahmen einleiten oder Warnungen aussprechen zu können.

Das BSI Informationen und Hinweise

Das BSI gibt zudem auf seiner Website Informationen zum Thema Ransomware-Angriffe. Daraus geht vor allem hervor, dass Vorsorgemaßnahmen essenziell sind. Laut BSI werde das Risiko eines erfolgreichen Angriffs deutlich verringert, wenn die Vorgaben und Empfehlungen aus dem IT-Grundschutz umgesetzt werden.

Das Phänomen der Ransomware ist nicht neu, denn bereits 2005 trat unter dem Namen CryptoLocker erstmals eine Ransomware mit Verschlüsselungsfunktion großflächig in Erscheinung. Bei aktuellen Ransomware-Angriffen werde das Lösegeld meist in virtueller Währung wie Bitcoin verlangt – wobei die Zahlung keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme bietet. Das BSI empfiehlt stattdessen, dass Betroffene unverzüglich Anzeige bei der Polizei erstatten.