Nutzer von Apple-Geräten gerieten bisher kaum in den Fokus von Erpresser-Software. © Christoph Schmidt/dpa

Unter Kriminellen hat sich offenbar endgültig herumgesprochen, dass Ransomware ein funktionierendes Geschäftsmodell ist. Sicherheitsexperten warnen seit Jahren vor dem Phänomen der Erpresser-Software, die Dateien ihrer Opfer verschlüsselt und nur gegen Lösegeld wieder freigibt. Aber so einträchtig und schlagzeilenträchtig wie in den vergangenen Wochen und Monaten war Ransomware noch nie. "Ransomware ist die derzeit größte Bedrohung für Privatanwender", sagt Mikko Hypponen, Chief Research Officer der Firma F-Secure. Ein Ende ist nicht abzusehen. Am Freitag zum Beispiel ist der erste voll funktionsfähige Erpressungstrojaner für Apples Betriebssystem OS X aufgetaucht.

Forscher der amerikanischen Sicherheitsfirma Palo Alto Networks haben ihn entdeckt und KeRanger getauft. Sie fanden die Schadsoftware in einer infizierten Version des BitTorrent-Programms Transmission. Besonders perfide: Sie wurde am Freitag über die offizielle Seite des Open-Source-Projekts verteilt und war mit einem gültigen Zertifikat für Mac-Entwickler versehen. Damit konnte sie die Sicherheitsmaßnahmen des Betriebssystems umgehen, und die Opfer hatten keinen Grund, an der Integrität des Programms zu zweifeln. KeRanger verlangt eine Bitcoin als Lösegeld, umgerechnet derzeit etwa 373 Euro, erst dann werden die Dateien wieder entschlüsselt.

Apple hat mittlerweile reagiert und das betroffene Zertifikat zurückgenommen. Die Transmission-Projektbetreiber warnen auf ihrer Website vor der verseuchten Version 2.90 und raten dringend zum Upgrade auf Version 2.92.

Es ist nur die jüngste in einer langen Reihe von Ransomware-Infektionen in den vergangenen Monaten. Privatanwender gehören ebenso zu den Opfern wie größere Institutionen, entsprechende Malware gibt es mittlerweile auch für Linux-Systeme.

Kryptotrojaner legt Krankenhäuser lahm

In Nordrhein-Westfalen hat es zuletzt zwei Krankenhäuser erwischt. Ihre Computer wurden von Ransomware lahmgelegt, der Krankenhausbetrieb musste mit Faxgerät, Stift und Zettel weitergehen. Wie sehr das die Arbeit des Personals beeinträchtigt und wie langwierig die Folgen sein können, beschreibt dieses Protokoll. Ein ebenfalls betroffenes Krankenhaus in Los Angeles hatte im Februar lieber Lösegeld gezahlt.

Im Dezember war Ransomware ins Computernetzwerk des NRW-Innenministeriums eingedrungen, fast zeitgleich traf es die Verwaltung des Landschaftsverbandes Rheinland. Die unterfränkische Stadt Dettelbach zahlte zuletzt 500 Euro in Bitcoin, um die Kontrolle über ihr System wiederzuerlangen. In Bayreuth legte ein Virus Dutzende Rechner des Fraunhofer-Instituts lahm.

"Das ist gerade eine Modekrankheit. Seit drei, vier Monaten erleben wir immer wieder massive Wellen von Angriffen", sagte Klaus Rastetter, in der nordrhein-westfälischen Landesregierung zuständig für die IT-Sicherheit, der Deutschen Presse-Agentur. Aber warum ausgerechnet jetzt?

Musterbeispiel Locky

Linus Neumann, Sicherheitsforscher und einer der Sprecher des Chaos Computer Clubs, hat sich intensiv mit der derzeit bekanntesten Malware dieser Kategorie beschäftigt: dem Kryptotrojaner Locky. An ihm lässt sich der derzeitige Erfolg von Ransomware sehr gut nachvollziehen.

Locky verbreitet sich unter anderem über infizierte Word-Dateien, die per E-Mail verschickt werden. Es gibt aber auch schon andere Verbreitungswege, etwa über JavaScript. Wer sich den Schädling einfängt und keine Sicherheitskopie seiner Dateien hat, dem bleibt nichts anderes übrig, als das Lösegeld in Höhe von einem halben bis einem Bitcoin zu bezahlen. Bisher hat niemand eine Schwachstelle in Locky gefunden, die es erlauben würde, die verschlüsselten Daten ohne die Hilfe der Täter wieder zu entschlüsseln. Und selbst wer eine Sicherheitskopie besitze, zahle manchmal lieber, sagt Neumann, weil das Aufspielen etwa in einem Unternehmen gerne mal einen Tag und damit deutlich mehr als das Lösegeld koste. Das ist also der erste Grund, warum Ransomware für Kriminelle im Netz das Geschäftsmodell der Stunde ist: Sie ist qualitativ gut geworden.