Wieslochs Hospiz Agape Opfer von Erpresservirus

Was tun, wenn man Opfer eines sogenannten Erpresservirus geworden ist - Wieslochs Hospiz Agape hat einen solchen Angriff erlebt

25.07.2016 UPDATE: 27.07.2016 06:00 Uhr 3 Minuten, 41 Sekunden

Alarmstufe rot: Der zu Demonstrationszwecken erstellte, verfremdete Screenshot zeigt, wie ein Erpressungstrojaner auf dem Bildschirm aussehen kann. Foto: dpa

Wiesloch. (oé) Martina Brixner, die Leiterin des Hospizes Agape in Wiesloch, beginnt ihren Arbeitstag an diesem Morgen wie immer: Sie fährt ihren Computer hoch und gibt ihr Passwort ein. Doch anstelle der vertrauten Ansicht erscheinen diesmal auf dem Bildschirm lauter unleserliche Hieroglyphen. Zwischendrin dann plötzlich die Botschaft: "Ihre Daten sind verschlüsselt. Wenn Sie die Verschlüsselung aufheben wollen, geben Sie folgenden Code ein." Martina Brixner tut das einzig Richtige: Statt der Aufforderung zu folgen, ruft sie den EDV-Administrator ihres Hauses an. Dessen Empfehlung ist unmissverständlich: Sofort die Aus-Taste drücken oder gleich den Stecker ziehen. "Sollte dabei etwas kaputt gehen, so ist das völlig egal", ergänzt Wolfgang Polk, dessen Ingenieurbüro das Hospiz berät und betreut. "Denn schlimmer kann es nicht mehr kommen."

Der Grund: Das Hospiz ist das Opfer eines Erpresservirus geworden. Er verschlüsselt die Daten der befallenen Computer und gibt sie erst dann wieder frei, wenn das Opfer die geforderte Summe bezahlt hat - so der günstigste Fall. Im ungünstigen bleiben die Daten trotz der Zahlung ganz oder teilweise verschlüsselt. "Es hat Zeit und Geld gekostet und das Ergebnis ist gleich null", warnt Wolfgang Polk. Sein Rat: Sich nicht auf die Forderungen der Erpresser einlassen und stattdessen die Polizei einschalten.

Back-ups geben Sicherheit

Das Hospiz hat dies getan. Und es hat sich entschlossen, den Vorgang öffentlich zu machen. "Wir wollen warnen und hellhörig machen. Denn wir wissen, dass wir nicht die einzigen sind", sagen Martina Brixner und Wolfgang Polk. In der Tat: Firmen, Verwaltungen, soziale Einrichtungen, Kliniken, aber auch Privatleute sind in den zurückliegenden Monaten immer wieder Opfer dieser betrügerischen Masche geworden. Wolfgang Polk hat sogar von britischen Firmen gelesen, die inzwischen Reserven in der Kryptowährung Bitcoin anlegen, um den Erpressern im Falle des Falles rasch Lösegeld zahlen zu können und so wieder an ihre wertvollen Daten zu kommen. Bitcoin-Überweisungen sind die bevorzugte Wahl der Erpresser, weil sie im Internet in der Regel nicht zurückverfolgt werden können, weiß Wolfgang Polk.

Der Computerexperte rät zu einer ganz anderen, seiner Meinung nach viel besseren Verteidigungsstrategie: der Sicherung der eigenen Daten durch regelmäßige, am besten tägliche "Back-ups". Wichtig dabei: Die Back-ups müssen auf einem eigenständigen Server hinterlegt werden, der nicht an das eigentliche Netzwerk angeschlossen ist (beziehungsweise nur für die kurze Zeit, wenn das Back-up erfolgt). Nur so kann verhindert werden, dass auch die Back-up-Daten verschlüsselt werden. Beim Hospiz Agape war diese Strategie erfolgreich. Dessen Daten konnten fast komplett rekonstruiert werden. Was verloren blieb, war "verschmerzbar", so Martina Brixner. "Nichts Gravierendes." Wolfgang Polk kann zudem ausschließen, dass sensible Daten gestohlen wurden. "Ich bin ganz sicher, dass keine Daten weggekommen sind. Sie wurden nur verschlüsselt. Die Täter wollten Geld erpressen", so der Computerexperte.

Aber wie ist der Trojaner überhaupt auf den Rechner gekommen? In der Regel geschieht dies via E-Mail. Öffnet man den Anhang, wird meist noch nicht der Virus selbst aktiviert, sondern ein Schadcode, der den Virus später aus dem Internet herunterlädt. Das kann Wochen oder Monate danach geschehen, wenn man die E-Mail längst vergessen hat - für den Experten auch ein Zeichen für die kriminelle Energie, mit der die Täter vorgehen. Im Fall des Hospizes ging die Mail im Februar ein, es handelte sich um eine fingierte Initiativbewerbung. Tatsächlich aktiviert wurde der Virus aber erst im Mai.

Wie kann man vermeiden, dass man auf solche betrügerische Mails hereinfällt? Grundsätzlich ist Vorsicht geboten, vor allem, wenn es sich um Mails mit unbekanntem Absender handelt. Allerdings weisen so genannte "Locky-Mails", wie die Verschlüsselungsprogramme auch heißen, nach den Erfahrungen Wolfgang Polks oft "ein hohes professionelles Niveau" auf und stammen mitunter sogar von tatsächlich existierenden Firmen, deren E-Mail-Konten gekapert wurden. Während bei PDF-Dateien normalerweise nichts passiert (zumindest nicht automatisch), sieht es bei Microsoft-Office-Dokumenten mit ausführbaren Programmen (Skripten) anders aus: Bei Anhängen, die mit .doc, .xls, .acc oder .ppt enden, sollte man achtgeben, rät der Experte.

Und was ist mit dem Virenschutzprogramm? Im konkreten Fall bot es Wolfgang Polk zufolge leider nur eine "trügerische Sicherheit". Obwohl das Hospizsystem durch einen professionellen Virenscanner geschützt war, wurde der Trojaner nicht erkannt - eigentlich "ein Unding", wie der Computerexperte findet. Doch läuft es in solchen Fällen leider allzu oft "wie beim Hase-Igel-Spiel": "Und dabei ist das Virenschutzprogramm derjenige, der hinterherläuft", so Wolfgang Polk. Auch eine Strafverfolgung der Täter ist dem Computerexperten zufolge schwierig bis unmöglich, da die Übeltäter ihre Spuren im Internet verwischen und sich praktisch "komplett unsichtbar machen" können (etwa in sogenannten Tornetzwerken).

Uwe Schrötel, der Leiter des Polizeireviers Wiesloch, kann dies nur bestätigen. Bei solchen Tornetzwerken sei die Suche nach den Tätern schon "physikalisch unmöglich". In anderen Fällen führe die Spur oft zu ausländischen Servern, die dem Zugriff der deutschen Polizei entzogen seien. Der Revierleiter hat aber auch einen kleinen Trost parat. Nicht immer sind die Erpressertrojaner so hochprofessionell wie im Fall des Hospizes. Es gibt auch harmlosere Erpresserprogramme, die nur vorgaukeln, dass der ganze Rechner gesperrt ist. Blockiert sind jedoch nur Bildschirm und Tastatur. Auch hier sollte man den Rechner sofort ausschalten und vom Internet trennen, so der Rat des Polizeiexperten. Ein

Wie beim "Hase-Igel-Spiel"

Neustart im abgesicherten Modus, ein Wiederherstellungszeitpunkt in der Vergangenheit und ein aktuelles Virenprogramm müssten das Problem dann beheben können, beruhigt Uwe Schrötel. Sein Rat: Angesichts der großen Zahl von Viren weltweit, die täglich um neue Varianten wachsen, sollten sich alle Computernutzer eine Virenschutzsoftware anschaffen, sie installieren und regelmäßig die neuen Virendefinitionen herunterladen (Infos gibt es unter www.bsi-fuer-buerger.de oder unter www.polizei-beratung.de).

Auch Martina Brixner und das Hospiz Agape sind bei der Attacke auf ihren Rechner dank der Hilfe Wolfgang Polks noch einmal "mit dem berühmten blauen Auge" davongekommen, wie die Chefin sagt. Ihre Lehre aus dem Ganzen: nicht jede E-Mail gleich öffnen, sondern erst genau hinschauen. Und im Zweifel lieber auf Nummer sicher gehen.

(Der Kommentar wurde vom Verfasser bearbeitet.)
(zur Freigabe)
Möchten sie diesen Kommentar wirklich löschen?
Möchten Sie diesen Kommentar wirklich melden?
Sie haben diesen Kommentar bereits gemeldet. Er wird von uns geprüft und gegebenenfalls gelöscht.
Kommentare
Das Kommentarfeld darf nicht leer sein!
Beim Speichern des Kommentares ist ein Fehler aufgetreten, bitte versuchen sie es später erneut.
Beim Speichern ihres Nickname ist ein Fehler aufgetreten. Versuchen Sie bitte sich aus- und wieder einzuloggen.
Um zu kommentieren benötigen Sie einen Nicknamen
Bitte beachten Sie unsere Netiquette
Zum Kommentieren dieses Artikels müssen Sie als RNZ+-Abonnent angemeldet sein.