Bis zu 40 Mal pro Woche verlangen Hacker Lösegeld für die Freigabe eines gekaperten Computers oder Smartphones. Banden bieten das bereits als Dienstleistung an.
Wien. Zahlreiche Österreicher – Privatpersonen genauso wie Unternehmer – erhielten während der vergangenen Wochen via E-Mail eine angebliche Stromrechnung des Verbunds oder eine durchaus seriös gestaltete Bewerbung eines gewissen Julian Heyne. Jene, die den Anweisungen folgten, also den (vermeintlichen) PDF-Anhang öffneten oder auf den beigefügten Link klickten, bewerten die individuelle Bedrohung, Opfer von Computerkriminellen zu werden, seither realistischer. Sie alle sind nämlich Geschädigte sogenannter Ransomware.
Ransom (engl.) steht für Lösegeld, und ebensolches fordern die Absender der E-Mails schließlich, wenn die Opfer ihre gespeicherten Daten wieder verwenden möchten. Ransomware verschlüsselt, nachdem sie sich selbst installiert hat, Dateien des Computers und lässt den Nutzer nicht mehr darauf zugreifen. Es sei denn, er verfügt über jenes Passwort, das die Verschlüsselung wieder bricht. Dieses geben die Kriminellen jedoch nur gegen Bezahlung heraus. Im Grunde genommen handelt es sich bei der Methode um das uralte Geschäftsmodell der Erpressung mit modernen Mitteln.
Wobei: Das Phänomen Ransomware tauchte bereits vor zwölf Jahren erstmals auf. Seither haben sich Mittel und Methoden der Kriminellen jedoch ständig verbessert. Das IT-Sicherheitsunternehmen Kaspersky registrierte schon vor zwölf Monaten weltweit einen sprunghaften Anstieg entsprechender Angriffe, in Österreich bekommt die eigens dafür eingerichtete Sonderkommission des Bundeskriminalamts derzeit 30 bis 40 neue Fälle pro Woche auf den Tisch. Tendenz steigend.
Kriminalität als Dienstleistung
Dabei bemerken die Opfer anfangs meistens gar nicht, dass ihr Computer infiziert wurde. Das Computervirus verschlüsselt die Daten in der Regel im Hintergrund. Erst wenn betroffene Dateien aufgerufen werden, gibt es auf dem Bildschirm eine eindringliche Information. Zum Beispiel in Form eines aus vielen, kleinen Dollarzeichen aufgebauten Totenkopfes, wie es typisch für eine Ransomware namens Petya ist (siehe Bild im Kasten). Anschließend folgen klare Anweisungen, was zu tun ist.
Zu bezahlen ist fast immer in Bitcoins, der anonymen Online-Währung. Ein Bitcoin entspricht laut gegenwärtigem Kurs knapp 550 Euro. In den meisten der Soko Clavis (lat. für Schlüssel) bekannten Fälle werden zwei Bitcoins erpresst.
Was Opfer schädigt, sichert langfristig den Arbeitsplatz von Manfred Riegler. Er leitet die Soko Clavis im Bundeskriminalamt und sagt, dass das Phänomen Ransomware gerade dabei sei, zum Massenphänomen zu werden. Zu tun hat das mit einer Entwicklung, die er mit dem Fachbegriff „crime as a service“ (also Kriminalität als Dienstleistung) beschreibt. „Um auf dem Gebiet aktiv zu sein, muss man kein begnadeter Computerfreak sein. Stark vereinfacht gesagt reicht es für einen Täter aus, wenn er lesen kann.“
Patientenakten betroffen
Was Riegler damit meint: Es gibt weltweit agierende Netzwerke von Kriminellen, bei denen man Ransomware-Angriffe nach dem Baukastenprinzip bestellen kann. Verfügt man selbst über Know-how, ausreichend E-Mail-Adressen potenzieller Opfer sowie technische Infrastruktur, dann bestellt man beispielsweise nur das Virus selbst und hält den Einkaufspreis niedrig. Hat man als Erpresser und am Computer keine Ahnung, steht das Komplettpaket mit Rundumbetreuung zum Kauf. Ab 4000 bis 5000 Euro kann man die Dienste buchen. Bei Erfolgen werden Provisionen für Auftragnehmer fällig.
Allerdings führen selbst Straftäter manchmal ethische Debatten. Nachdem, u. a. in Deutschland, die ersten Spitäler Opfer wurden, digitale Patientenakten nur noch gegen Bezahlung zu öffnen waren, brach in den dunklen Ecken der Hackerforen eine Diskussion los, ob Angriffe auf Einrichtungen der Daseinsvorsorge vertretbar seien. Das Ergebnis ist offen.
("Die Presse", Print-Ausgabe, 15.09.2016)