Unter Kriminellen hat sich offenbar endgültig herumgesprochen, dass Ransomware ein funktionierendes Geschäftsmodell ist. Sicherheitsexperten warnen seit Jahren vor dem Phänomen der Erpresser-Software, die Dateien ihrer Opfer verschlüsselt und nur gegen Lösegeld wieder freigibt. Aber so einträchtig und schlagzeilenträchtig wie in den vergangenen Wochen und Monaten war Ransomware noch nie. "Ransomware ist die derzeit größte Bedrohung für Privatanwender", sagt Mikko Hypponen, Chief Research Officer der Firma F-Secure. Ein Ende ist nicht abzusehen. Am Freitag zum Beispiel ist der erste voll funktionsfähige Erpressungstrojaner für Apples Betriebssystem OS X aufgetaucht.

Forscher der amerikanischen Sicherheitsfirma Palo Alto Networks haben ihn entdeckt und KeRanger getauft. Sie fanden die Schadsoftware in einer infizierten Version des BitTorrent-Programms Transmission. Besonders perfide: Sie wurde am Freitag über die offizielle Seite des Open-Source-Projekts verteilt und war mit einem gültigen Zertifikat für Mac-Entwickler versehen. Damit konnte sie die Sicherheitsmaßnahmen des Betriebssystems umgehen, und die Opfer hatten keinen Grund, an der Integrität des Programms zu zweifeln. KeRanger verlangt eine Bitcoin als Lösegeld, umgerechnet derzeit etwa 373 Euro, erst dann werden die Dateien wieder entschlüsselt.

Apple hat mittlerweile reagiert und das betroffene Zertifikat zurückgenommen. Die Transmission-Projektbetreiber warnen auf ihrer Website vor der verseuchten Version 2.90 und raten dringend zum Upgrade auf Version 2.92.

Es ist nur die jüngste in einer langen Reihe von Ransomware-Infektionen in den vergangenen Monaten. Privatanwender gehören ebenso zu den Opfern wie größere Institutionen, entsprechende Malware gibt es mittlerweile auch für Linux-Systeme.

Kryptotrojaner legt Krankenhäuser lahm

In Nordrhein-Westfalen hat es zuletzt zwei Krankenhäuser erwischt. Ihre Computer wurden von Ransomware lahmgelegt, der Krankenhausbetrieb musste mit Faxgerät, Stift und Zettel weitergehen. Wie sehr das die Arbeit des Personals beeinträchtigt und wie langwierig die Folgen sein können, beschreibt dieses Protokoll. Ein ebenfalls betroffenes Krankenhaus in Los Angeles hatte im Februar lieber Lösegeld gezahlt.

Im Dezember war Ransomware ins Computernetzwerk des NRW-Innenministeriums eingedrungen, fast zeitgleich traf es die Verwaltung des Landschaftsverbandes Rheinland. Die unterfränkische Stadt Dettelbach zahlte zuletzt 500 Euro in Bitcoin, um die Kontrolle über ihr System wiederzuerlangen. In Bayreuth legte ein Virus Dutzende Rechner des Fraunhofer-Instituts lahm.

"Das ist gerade eine Modekrankheit. Seit drei, vier Monaten erleben wir immer wieder massive Wellen von Angriffen", sagte Klaus Rastetter, in der nordrhein-westfälischen Landesregierung zuständig für die IT-Sicherheit, der Deutschen Presse-Agentur. Aber warum ausgerechnet jetzt?

Musterbeispiel Locky

Linus Neumann, Sicherheitsforscher und einer der Sprecher des Chaos Computer Clubs, hat sich intensiv mit der derzeit bekanntesten Malware dieser Kategorie beschäftigt: dem Kryptotrojaner Locky. An ihm lässt sich der derzeitige Erfolg von Ransomware sehr gut nachvollziehen.

Locky verbreitet sich unter anderem über infizierte Word-Dateien, die per E-Mail verschickt werden. Es gibt aber auch schon andere Verbreitungswege, etwa über JavaScript. Wer sich den Schädling einfängt und keine Sicherheitskopie seiner Dateien hat, dem bleibt nichts anderes übrig, als das Lösegeld in Höhe von einem halben bis einem Bitcoin zu bezahlen. Bisher hat niemand eine Schwachstelle in Locky gefunden, die es erlauben würde, die verschlüsselten Daten ohne die Hilfe der Täter wieder zu entschlüsseln. Und selbst wer eine Sicherheitskopie besitze, zahle manchmal lieber, sagt Neumann, weil das Aufspielen etwa in einem Unternehmen gerne mal einen Tag und damit deutlich mehr als das Lösegeld koste. Das ist also der erste Grund, warum Ransomware für Kriminelle im Netz das Geschäftsmodell der Stunde ist: Sie ist qualitativ gut geworden.

Bitcoin erleichtert die automatisierte Erpressung

Frühere Erpressungsprogramme ließen sich oft sehr einfach oder zumindest mit vertretbarem Aufwand austricksen. Mittlerweile "haben die Täter 20 Jahre Erfahrung aus dem Wettrüsten mit Antiviren-Firmen", sagt Neumann. In Locky etwa seien die Infektionsroutine, die Kommunikation mit dem Command-and-Control-Server, über den die Täter mit ihrer Software kommunizieren, und andere Details geradezu vorbildlich programmiert.

"Im Gegensatz zu traditioneller Malware wie Banking-Trojanern oder Keyloggern, die häufig Administrator-Zugriffsrechte benötigen, braucht Ransomware nur Zugriff auf die Daten des gerade angemeldeten Nutzers", sagt Hypponen. "Spezielle Rechte sind nicht nötig", das mache den eigentlichen Angriff, also die Verschlüsselung der Zieldateien, vergleichsweise einfach.

Bitcoin ist ein weiterer wichtiger Baustein, bestätigen Hypponen und Neumann gleichermaßen. Das elektronische Zahlungssystem mache es den Tätern leicht, bestimmte Vorgänge zu automatisieren, sagt Neumann. Jedes Locky-Opfer muss an eine eigens eingerichtete Bitcoin-Wallet zahlen. Eine einzige Wallet, auf der immer wieder der gleiche Betrag eingeht, der irgendwann zudem sehr groß wird, könnte Ermittlern auffallen. Tausende Wallets, die jeweils nur 0,5 bis ein Bitcoin enthalten, nicht. Gleichzeitig kann die Software der Kriminellen selbsttätig prüfen, ob das Lösegeld schon in der jeweiligen Wallet eingetroffen ist, und dem Opfer dann einen Link zum Entschlüsseln seiner Daten schicken. Damit auch Anfänger die Überweisung hinkriegen, erkläre Locky sehr detailliert und anschaulich, wie das Bitcoin-System funktioniert, sagt Neumann.

Hinzu komme, dass derzeit ein Arbeitsteilungsmodell entstehe. Neumann vergleicht es mit einem Affiliate-Programm: Spezialisten etwa für das Verfassen von Phishingmails in einer Sprache können sich die Ransomware in den dunkleren Ecken des Netzes beschaffen und mit ihren Kenntnissen dafür sorgen, dass sich möglichst viele Opfer damit infizieren. Sie bekommen dafür einen Anteil am Lösegeld von den Programmierern der Kryptotrojaner.

Sicherheitskopien schützen

Schließlich hält Neumann auch die mediale Berichterstattung für einen möglichen Einfluss: Viele Berichte über erfolgreiche Angriffe könnten viele Nachahmer anziehen. "Ransomware ist eine Malware-Kategorie, die bleiben wird", sagt er. Zwar seien die aktuellen Berichte ein sehr guter Grund für Privatanwender, endlich regelmäßige Sicherheitskopien anzulegen und diese physisch getrennt vom Rechner aufzubewahren, etwa auf einer externen Festplatte. Das sei ein wirksamer Schutz vor den Erpressern. Doch die würden dann wahrscheinlich dazu übergehen, gezielt größere Institutionen anzugreifen, die ebenso verwundbar wie zahlungskräftig sind.

Schon jetzt sei das ansatzweise in Locky erkennbar: Die Software schicke die Namen der von ihr verschlüsselten Dateien zum Command-and-Control-Server, sodass die Täter daraus unter Umständen schließen können, wen genau sie erwischt haben, um ihre Forderungen anpassen zu können. Ein fiktives Beispiel: Enthalten die Dateinamen Hinweise auf Konten bei mehreren Banken, hat das Opfer möglicherweise genug Geld, um auch ein höheres Lösegeld zu bezahlen.

Die Empfehlungen von Experten an die Betroffenen sind durchaus unterschiedlich. Das FBI schlägt vor, das geforderte Lösegeld einfach zu bezahlen. Die Verschlüsselung sei zu gut und die amerikanische Bundespolizei könne da nichts machen, sagen die Ermittler. Dagegen rät das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI), das Lösegeld nicht zu zahlen. Man wisse schließlich nicht, ob die Erpresser auch Wort halten und die Daten wieder freigeben.

Neumann sagt, zumindest die Locky-Entwickler ließen eine gewisse kaufmännische Ehre durchblicken und würden den Link zum Entschlüsseln wirklich herausgeben, sobald sie ihr Lösegeld haben. Das sei aus wirtschaftlicher Sicht allerdings auch sinnvoll. Spräche sich herum, dass die Zahlung nichts bringt, würde niemand mehr Bitcoins überweisen.