Schadsoftware hat die Elektronik im Hollywood Presbyterian Medical Center in Los Angeles lahmgelegt. © Mario Anzuoni/Reuters

Die meisten Trojaner arbeiten still im Hintergrund auf Computern und sammeln unbemerkt Daten ihrer Opfer. Anders funktioniert die sogenannte Ransomware. Sie verschlüsselt Teile des betroffenen Computers oder Smartphones und verlangt Lösegeld von den Nutzern, damit diese wieder auf ihre Daten zugreifen können.

Die Empfehlungen der Experten sind unterschiedlich. Das FBI schlägt vor, das geforderte Lösegeld einfach zu bezahlen. Die Verschlüsselung sei zu gut und die amerikanische Bundespolizei könne da nichts machen, sagen die Ermittler – und schüren damit geschickt die Angst vor Verschlüsselung. Dagegen rät das deutsche Bundesamt für Sicherheit in der Informationstechnik den Opfern, das Lösegeld nicht zu zahlen. Man weiß schließlich nicht, ob die Erpresser auch Wort halten und die Daten wieder freigeben.

Papier, Stift und Faxgerät

Ein Krankenhaus in Los Angeles ist der Empfehlung des FBI gefolgt und hat am Montag 17.000 Dollar, etwa 15.000 Euro, an anonyme Hacker gezahlt. Sie hatten vom 5. Februar an die Kontrolle über das Computernetzwerk der Klinik erlangt und wichtige Dateien verschlüsselt. Bis das Lösegeld überwiesen wurde, konnten die Angestellten weder auf bestimmte Systeme zugreifen, noch die elektronische Kommunikation verwenden. Methoden aus dem letzten Jahrhundert kamen daher im Alltag zum Einsatz: Patientendaten wurden mit einem Stift auf Papier aufgenommen, Dokumente per Fax verschickt und Patienten mussten die Untersuchungsergebnisse persönlich abholen, anstatt sie per Mail zu erhalten.

Wie genau die Kriminellen vorgegangen sind, ist unklar. Den Entschlüsselungscode sollte es erst geben, wenn die Krankenhausleitung das Lösegeld in der elektronischen Währung Bitcoin zahlen würde. Die Täter lassen sich dadurch nur schwer auffinden. Die Zahlung "war der schnellste und der effizienteste Weg", schreibt Allen Stefanek, der Chef des Krankenhauses, in einer Stellungnahme am Mittwoch. Die Systeme liefen nun wieder ohne Probleme und die Schadsoftware sei entfernt worden, schreibt Stefanek weiter.

Kliniken in NRW betroffen

Mit Stift, Fax und Papier wurde letzte Woche auch in einem Krankenhaus in Neuss gearbeitet. Am 10. Februar haben Mitarbeiter auf den Rechnern Schadsoftware entdeckt. Daraufhin hat die Klinik das IT-System komplett heruntergefahren. Über eine E-Mail mit dem Betreff "Rechnung" soll sich Malware im Netzwerk des Krankenhauses verbreitet haben. Nach der Untersuchung durch Experten des Landeskriminalamtes NRW (LKA) wird das System seit Mittwoch Schritt für Schritt wieder hochgefahren.

Die Attacken häufen sich: In letzter Zeit seien zwei weitere Krankenhäuser in NRW von ähnlichen Fällen betroffen, erklärt das LKA. Bei mindestens einem Fall gehen die Ermittler von einem Erpressungsversuch aus, da Lösegeldforderungen aufgetaucht seien. Sie glauben aber nicht, dass die Kriminellen gezielt Krankenhäuser attackiert haben. Die Piratenpartei in NRW forderte nach Bekanntwerden der Vorfälle mehr Geld für die IT-Infrastruktur von öffentlichen Krankenhäusern.

90.000 Rechner pro Tag befallen

In den letzten Tagen kam es vermehrt zu Angriffen mit Ransomware, von denen nicht nur Krankenhäuser betroffen waren. So verschlüsselt ein als Word-Datei getarnter Trojaner namens Locky Datenbanken, Office-Dokumente und Mediendateien, wie Heise Security berichtet. Die Opfer sollen einen Bitcoin, etwa 360 Euro, an die Erpresser zahlen, um den Entschlüsselungscode zu erhalten. Der Trojaner solle bis zu 90.000 Rechner pro Tag befallen, sagt ein britischer Analyst im Gespräch mit Forbes. Die infizierte Word-Datei könnte allerdings schon länger auf den Rechnern der Betroffenen liegen und erst jetzt aktiv werden.

Ein anderes Schadprogramm namens TeslaCrypt versieht alle betroffenen Dateien mit der Dateiendung MP3 und verschlüsselt sie. Den Entschlüsselungscode gibt es, wie schon bei Locky, erst dann, wenn das Opfer Geld bezahlt. Zusätzlich sei die Zahl der Ransomware auf Android-Geräten in den letzten Wochen gestiegen, berichtet das Sicherheitsunternehmen Eset. Dabei geben Trojaner vor, die NSA oder das FBI hätten das Smartphone aus irgendwelchen Gründen blockiert und der Nutzer müsse nun Geld an die Erpresser überweisen.