So stellt man sich das landläufig vor: Heimlich programmiert jemand nachts am Laptop ein Schadprogramm. Tatsächlich werden die hochprofessionell entwickelt und vom organisierten Verbrechen eingesetzt.

Entführung im Internet: Gerissene Erpresser haben die Daten einer Syker Firma verschlüsselt und unbrauchbar gemacht. Obwohl die Inhalte also noch vorhanden waren, sah der betroffene Unternehmer keine andere Möglichkeit, als den Lösegeld-Forderungen der Täter nachzukommen. Ein Vorfall, der jede Firma treffen kann, die im Internet aktiv ist.

Syke – Wie lange die Schadsoftware schon unerkannt in seinem EDV-System geschlummert hat, weiß der Syker Unternehmer nicht. Wahrscheinlich Wochen, wenn nicht Monate. Gemerkt hat er es erst, als sie aktiv geworden ist und er von einem Tag auf den anderen an immer weniger Daten herankam. Da hatte die Software aber schon das Backup verseucht. Und deshalb hat er auch bezahlt, als sich dann die Internet-Erpresser bei ihm gemeldet haben.

Der Unternehmer, der einen Betrieb im Gewerbegebiet am Syker Bahnhof leitet und namentlich nicht genannt werden möchte, erzählt: Das letzte garantiert saubere Backup wäre fast ein Jahr alt gewesen. „Wir hätten dann alle kundenbezogenen Daten verloren, mit denen wir aktuell arbeiten.“ Ein Verlust, der den Betrieb um ein Vielfaches teurer gekommen wäre als die Forderung der Erpresser: Zwei Bitcoin. Nach Tageskurs etwa 13.000 Euro. „Wenn’s mehr gewesen wäre, hätten wir das nicht gemacht. Aber so war es gut investiertes Geld.“

Cybercrime-Experte der Polizei Diepholz kennt die Masche

Und genau diese Abwägung ist ja auch das Kalkül der Erpresser. Wer die sind und wo die herkommen, lässt sich laut Hauptkommissar Jens Meyer von der Abteilung Cybercrime der Polizeiinspektion Diepholz meist nicht feststellen. Denn das ist hochprofessionell organisiertes Verbrechen.

Die Masche funktioniert so: Über harmlos aussehende Mail-Anhänge wird das System infiziert. „Da sind die Täter heute erheblich weiter als vor ein paar Jahren“, sagt Meyer. „Es ist auf den ersten Blick praktisch nicht mehr zu erkennen, dass die Bewerbung, die ich da gerade aufgemacht habe, gar keine echte Bewerbung ist oder das Angebot eines Zulieferbetriebs eine Fälschung.“ Mit dem Aufklicken dieser Anhänge gelangt dann die Schadsoftware ins System. Und die hat meistens eine Art Zeitzünder, durch den sie erst eine Weile ruht, bevor sie aktiv wird. Damit sie sich in der Zwischenzeit möglichst weit im System ausbreiten kann. Wird diese Software aktiv, verschlüsselt sie die Datensätze des befallenen Systems. Und diese Verschlüsselung lässt sich für Normalsterbliche praktisch nicht knacken.

Wenn ein Pop-up-Fenster erscheint, ist es viel zu spät

Irgendwann erscheint dann ein Pop-up-Fenster auf dem Bildschirm des Benutzers. Fast immer wirkt das wie die Warnmeldung eines seriösen Unternehmens. Die Botschaft: „Ihre EDV ist verseucht. Bitte nehmen Sie über folgende Mailadressen Kontakt zu uns auf, wir haben die Lösung für Ihr Problem.“

+ „Shit happens: All deine Dateien sind verschlüsselt, aber wir haben die Lösung!“ – So präsentieren sich die Internet-Erpresser den befallenen Unternehmen. Laut Hauptkommissar Jens Meyer von der Polizeiinspektion Diepholz hat auch der Betrieb in Syke genau dieses Schreiben erhalten. © Polizei

Und dann verkaufen die Erpresser dem Erpressten die Entschlüsselungscodes.

Die hat der Syker Unternehmer nach Überweisung des Erpressungsgelds auch tatsächlich erhalten, und etwa eine Woche später hatte er seine Datensätze so weit entschlüsselt, dass sein Betrieb wieder arbeiten konnte. „Das ist ja das Geschäftsmodell der Erpresser“, sagt er. „Wenn sich rumspräche, dass man nach der Bezahlung gar keine Entschlüsselungscodes erhält, würde ja niemand mehr zahlen.“

Schadsoftware in Syke nicht mehr zu lokalisieren

Mit welcher Mail, mit welcher Datei die Schadsoftware in das System des Betriebs gelangt ist, haben weder dessen EDV-Spezialisten noch die Polizei herausfinden können. Hauptkommissar Jens Meyer: „Das würde uns in der Regel auch keine wichtigen Anhaltspunkte liefern. Bestenfalls wüssten wir, in welchem Land die Erpresser sitzen. Dann wäre aber auch schon Schluss.“

Die Mails zur Anbahnung der Zahlung haben sich nicht zurückverfolgen lassen. „Die Täter haben heute solch ein Fachwissen, dass man das nicht mehr kann“, sagt Meyer. Und auch der Weg, den die gezahlten Bitcoins genommen haben, verliert sich. „Die Täter splitten das Geld in viele Teile auf und leiten jeden einzelnen Teilbetrag über zig weitere Adressen um. Das verliert sich wie in einem großen Mixer. Irgendwann wird dann irgendwo mal ein Betrag ausgezahlt. Aber wie will man beweisen, dass das dann das Geld vom Syker Unternehmen ist und nicht von jemand anderem?“

Polizei Diepholz beendet Cybercrime-Ermittlung ohne Ergebnis

Im konkreten Fall hat die Polizei die Ermittlungen ohne Ergebnis abgeschlossen. Die Chance, solche Täter dingfest zu machen, hält Jens Meyer auch grundsätzlich für eher gering. „Es gibt kaum Anknüpfungspunkte.“ Deshalb sei Prävention in diesem Sektor das A und O.

Das weiß inzwischen auch der Syker Unternehmer. „Ich hatte bis dahin immer gedacht, so was passiert nur anderen, aber nicht uns.“ Und damit ihm das tunlichst nicht noch mal passiert, stellt er jetzt die Datensicherung seines Betriebs um. Aber noch etwas ganz anderes hat er aus dieser Geschichte gelernt: „Das papierlose Büro ist unter diesem Aspekt glatter Selbstmord. Damit kannst du deine ganze Firma komplett auf Null setzen.“

Rat vom Experten: Wie kann ich mich schützen?

Wie kann man sich vor Cybercrime schützen? Eine einfache Frage, die aber gar nicht so leicht zu beantworten ist. „Es gibt keine narrensichere Methode“, sagt zum Beispiel Jochim Selzer vom Chaos Computer Club. „Es gibt nur die Abwägung, welche Risiken ich zu welchem Preis zu verhindern bereit bin.“

+ Jochim Selzer vom Chaos Computer Club © CCC

Das Thema Backup ist für ihn ein typisches Beispiel. „Wie weit meine ich, maximal in die Vergangenheit zurückgehen zu müssen? Wie weit ist es im Sinne der Datenaktualität überhaupt sinnvoll? Welchen Schadensfall möchte ich überhaupt verhindern?“

Das Syker Unternehmen hat nach seiner Einschätzung gar nicht mal unbedingt etwas falsch gemacht. „Das Problem mit einem Schadsoftware-Befall ist in der Tat, dass ich beim Backup immer das Risiko habe, die Schadsoftware mit zu archivieren. Im schlimmsten Fall habe ich ein rotierendes Backup, bei dem ich beispielsweise für sieben Tage eine jeweils tägliche Sicherung vorhalte und nach einer Woche beginne, das erste Backup-Medium wieder zu überschreiben. Wenn die Schadsoftware bis dahin unentdeckt bleibt, ist es sehr wohl möglich, dass ich nur noch infizierte Backups habe. Die Gegenstrategie wäre, für sehr lange Zeit Backups vorzuhalten, allerdings nach einer Woche keine täglichen Backups, sondern nur noch eine wöchentliche und nach vier Wochen nur noch eine monatliche Sicherung vorzuhalten.“

Technische Trennung zwischen EDV und Backup

Wichtig sind für Selzer eine technische Trennung zwischen EDV und Backup und ein Mindestmaß an Qualität. „Gute Backup-Systeme holen sich die Dateien ab, statt dass das zu sichernde System aktiv die Daten im Backup ablegt. Bei einem Schadsoftware-Ausbruch hat der Ransomware-Trojaner dann keine Möglichkeit, das Backup zu zerschießen, weil der Backupserver nicht als freigegebenes Verzeichnis eingehängt ist.“

Aber: „Wenn ich wirklich großes Pech habe, ist das Backup gar nicht mein Problem, sondern die Tatsache, dass ich jemanden oder etwas in meinem Netz sitzen habe, der oder das meine Daten lesen kann.“

Virenscanner können nicht jedes Unheil verhindern

Jochim Selzer sagt: „Man kann durch technische und organisatorische Maßnahmen die Wahrscheinlichkeit eines Befalls verringern und dessen Auswirkungen mildern. Aber es gibt keine perfekte Lösung. Virenscanner können mit einer gewissen Wahrscheinlichkeit bekannte Muster erkennen und vielleicht noch bei unbekannter Software Mutmaßungen anstellen, aber es kann keine hundertprozentige Erkennungsrate geben.“ Die Entwickler von Schadsoftware testen sie an den bekanntesten Virenscannern aus, sehen, ob sie anschlagen und passen die Software entsprechend an.

Und die Täter sind hochprofessionell. Man dürfe nicht glauben, dass da „gelangweilte Teenager einfach mal so zwischen Hausaufgaben und Sportverein“ Schadsoftware schreiben. „Das mag in der Frühzeit der Computerkultur leichter als heute gewesen sein, aber Soft- und Hardware-Hersteller haben an vielen Stellen nachgebessert. Zwar beobachten wir auch heute noch Angriffe, die auf geradezu lachhafte Sicherheitsmaßnahmen trafen, doch allgemein funktionieren die hemdsärmeligen Methoden der 80er und 90er schon lange nicht mehr.“