Ransomware
Bild © hr

Digitale Erpressung gehört zu den beliebtesten Methoden von Cyberkriminellen, um an Geld zu kommen. Dabei setzen sie vor allem auf Ransomware, wie auch das aktuelle Bundeslagebild Cybercrime des BKA zeigt. Wir erklären, wie sie funktioniert und welche Folgen eine solche Attacke haben kann.

"Ransomware spielt eine ganz erhebliche Rolle", sagt der Polizist Markus Koths, Leiter der Gruppe Cybercrime im Bundeskriminalamt. Wenn Cyberkriminelle Schadsoftware einsetzen, "handelt es sich in der überwiegenden Zahl um Ransomware. Und Ransomware ist mittlerweile geeignet, ganze Strukturen, ganze Betriebe lahmzulegen, aber richtet sich natürlich auch an Bürgerinnen und Bürger."

Mit anderen Worten, es kann jeden treffen, jederzeit. Im Kern gibt es zwei Varianten der Masche: Entweder sperrt ein Schadprogramm den Zugang zum Rechner des Opfers, oder es verschlüsselt Daten auf dem Rechner und macht sie damit unbrauchbar. Die Täter nehmen also den ganzen Computer oder eine große Zahl an Dateien in Geiselhaft. Dann fordern sie Lösegeld (englisch "ransom") und bieten dafür einen Code, der den Rechner freigeben oder die Dateien entschlüsseln soll.

Viele Geschädigte zahlen Lösegeld

Für Unternehmen wird so eine Attacke immer dann besonders kritisch, wenn nicht ein einzelner Computer betroffen ist, sondern das Schadprogramm über das Netzwerk ganz viele Geräte befallen hat – so wie im Lukaskrankenhaus Anfang 2016. "Infizierte Systeme werden oftmals vollständig verschlüsselt und gesamte Netzwerke erheblich gestört. Betroffene, die ihre IT-Infrastruktur nicht durch aktuelle Backups wieder aufbauen können, erleiden massive Beeinträchtigungen bis hin zu einem kompletten Ausfall des Geschäftsbetriebs." So steht es aktuellen "Bundeslagebild Cybercrime 2017". Und weiter: "Angesichts dieses hohen Schadenspotenzials zahlen zahlreiche Geschädigte die vergleichsweise niedrigen geforderten Lösegelder."

Videobeitrag
Ransomware Cybercrime Screenshot

Video

zum Video Was ist Ransomware?

Ende des Videobeitrags

Die Lösegelder sind in vielen Fällen nicht so hoch, weil die Täter auf Masse setzen. Ihr Ziel ist es, möglichst viele Opfer zu erreichen, damit sich für sie viele einzelne kleine Lösegeldzahlungen zu großen Summen addieren. Das Opfer soll glauben, dass das Lösegeld das kleinere Übel ist. Dass es mit der Zahlung billiger wegkommt, als sich neue IT zu kaufen oder teure IT-Fachleute hinzuzuziehen. Daher bewegen sich die Lösegelder in den allermeisten Fällen im Bereich von wenigen hundert Euro.

Auslöser sind oft "harmlose" E-Mails

"Ein ganz üblicher Verteilungsweg ist die sogenannte Drive-by-Infection", sagt Markus Koths vom BKA. "Das heißt, jemand besucht eine Webseite und lädt sich hiermit Schadsoftware runter." Aber auch per Spam-Mails wird Ransomware in großem Stil verbreitet. "Das heißt, man bekommt E-Mails mit angehängten Dateien in sein Postfach. Wenn man die Dateien öffnet, wird Ransomware auf dem Computer installiert." Solche E-Mails können zum Beispiel aussehen wie ganz normale Rechnungen, wie Bestellbestätigungen, Paketempfangsinformationen oder sogar Bewerbungen. Und weil die Täter diese E-Mails weit streuen, gehören auch Krankenhäuser immer wieder zu den Opfern. Der jüngste bekannt gewordene Fall: drei Kliniken in und um Bremerhaven, die nach der Attacke unter anderem ihre Notaufnahme schließen mussten.

"Es wird durch die Täter im Grunde billigend in Kauf genommen, dass durchaus auch die Gesundheit, wenn nicht sogar das Leben von Menschen in Gefahr gerät, wenn sie diese Ransomware so verteilen, wie sie sie verteilen", sagt Markus Koths. "Nämlich eben auch gegen Einrichtungen, die wir als kritische Infrastrukturen bezeichnen." Kritische Infrastrukturen, das sind Einrichtungen, die besondere Bedeutung haben für das staatliche Gemeinwesen. Stromversorger gehören zum Beispiel dazu, Kommunikationsdienstleister, die Bahn und eben auch Krankenhäuser. Der Vorfall im Lukaskrankenhaus zeigt wie kein anderer, wie dramatisch die Folgen sein können.

Ransomware ist auch für Kliniken derzeit die häufigste Bedrohung. Aber nicht die einzige vorstellbare. IT-Fachleute wie Timo Kob, Vorstand der HiSolutions AG aus Berlin, warnen vor noch dramatischeren Szenarien: "Weil ein Krankenhaus als eines der zentralen Rückgrat-Stücke einer Gesellschaft auch ein attraktives Ziel sein kann für nicht wohlgesonnene Staaten." Kob denkt in Richtung Cyberwar - an zwischenstaatlich Konflikte, die in Zukunft in unserer hochvernetzen Zeit auch mit digitalen Waffen ausgetragen werden könnten. "Wie kann ich einen Staat verletzen, Unruhe schaffen?", fragt Kob. "Und dann greife ich eben nicht mehr mit Panzern an, sondern versuche, die Infrastrukturen zu zerstören."

Sendung: hr-iNFO, 1.10.2018, 19:25 Uhr

Jetzt im Programm