Krypto-Trojaner wie "Locky" legen ganze Firmennetzwerke lahm. Tausende Firmen stehen zeitweise still, weil kriminelle Hacker ihre Festplatten verschlüsseln. Ein Millionengeschäft, dem man nur mit Vorsorge begegnen kann.
Für Sven Kovacs (46) begann der Ärger am Faschingsfreitag. "Meine Mitarbeiter haben mich angerufen, weil an den Computern gar nichts mehr ging", erinnert sich der Unternehmer, der den Onlineshop "Reifen-Markt.com" betreibt. Wenn das Geschäft gut läuft, gehen bei Kovacs bis zu 1.500 Reifenbestellungen ein pro Tag. Damit war es schlagartig vorbei. "Unsere Dateien waren alle verschlüsselt, wir konnten nichts öffnen und keine Aufträge mehr annehmen", erzählt Kovacs. "Der ganze Laden stand still."
Der Reifenhändler war zum Opfer von "Locky" geworden, einem weltweit aktiven Computer-Trojaner, der heimlich alle Daten verschlüsselt. Nur wenn die Geschädigten ein bestimmtes Lösegeld an die Hacker bezahlen, rücken diese den Code zur Entschlüsselung heraus. Andernfalls bleibt der Zugang für immer versperrt.
"Ich hatte bis dahin noch nie etwas von ,Locky gehört", gesteht Kovacs. Ohnehin hätte er nie gedacht, dass eine Firma mit 16 Mitarbeitern zum Ziel von Kriminellen werden könnte. Doch weit gefehlt. 28.000 Euro verlangten die Erpresser von dem Unternehmer; die Forderung kam per E-Mail. "In schlechtem Englisch", wie Kovacs ergänzt, "aber das kann natürlich auch simuliert sein". Als Beweis, dass die Erpresser auch tatsächlich den rettenden Code besaßen, entschlüsselten sie drei Dateien. "Das war meine Rettung", sagt Kovacs, denn sein IT-Techniker fand eine Schwachstelle in der Programmierung. "Das war eine der ersten Locky-Versionen", sagt Kovacs. "Als den Programmierern ihr Fehler auffiel, haben sie ihn sofort korrigiert." Seither sind neue Versionen im Umlauf, von denen viele als unknackbar gelten.
Obwohl der größte Schaden abgewendet werden konnte, verging fast eine Woche, bis alle Daten wiederhergestellt waren. "Ich schätze, dass wir zwischen 80.000 und 90.000 Euro Umsatz einbüßen mussten", sagt Kovacs. Zwar sei er gegen solche Schäden versichert gewesen. "Doch die Selbstbeteiligung lag bei 25.000 Euro. Das warfast mieser als der Hackerangriff selbst." Immerhin hatte die Cyber-Attacke auch etwas Gutes: "Seitdem sichern wir unsere Daten lokal und nicht mehr in der Cloud", erklärt Kovacs. Ob es hilft? "Hoffentlich", meint der Geschäftsmann und zuckt mit den Schultern. "Auf jeden Fall ist die Sache dumm gelaufen."
Dunkelziffer
der Betroffenen dürfte hoch sein
Dabei ist er längst nicht der Einzige, dem es so ergeht. Wie Polizei und IT-Experten übereinstimmend berichten, sind in den vergangenen Monaten mehrere Hundert, wenn nicht gar Tausend Unternehmen allein in Baden-Württemberg von Krypto-Trojanern angegriffen worden. Beim Landeskriminalamt in Stuttgart, das im Fall "Locky" ermittelt, wurden zahlreiche Cyberangriffe dieser Art gemeldet. Beim Polizeipräsidium Freiburg gingen sieben Anzeigen namhafter Firmen ein, wobei die Dunkelziffer wohl wesentlich höher liegt. Viele Firmen, die ihre Daten gesichert hatten, spielen sie nach Erkenntnissen der Polizei neu auf und lassen die Sache danach auf sich beruhen. Oder sie zahlen stillschweigend das geforderte Lösegeld.
Hinzu kommt, dass vielen ein solcher Angriff extrem unangenehm ist. Wirtschaftsverbände berichten von unzähligen namhaften Unternehmen, die durch Locky geschädigt wurden. Dazu äußern wollen sich die Betroffenen aber nicht, auch nicht anonym. "Das ist ein riesengroßes Phänomen", bestätigt auch Stefan Kratzer vom IT-Dienstleister Leitwerk. "Manchmal haben wir bis zu fünf Betroffene am Tag", berichtet Kratzer. Die meisten meldeten sich erst relativ spät, wenn sich Dateien nicht mehr öffnen ließen. "Diese Trojaner sind perfekt programmiert. Von der Infektion merkt man erst mal nichts."
Der Schaden, der dabei entstehen kann, ist immens. Kratzer erzählt von Fällen, in denen eine Nachtschicht eingelegt werden musste, um ein Backup aufzuspielen. "Nur so konnte die Produktion am nächsten Morgen weitergehen." Zwei Betroffene hätten auch gezahlt, um von den Erpressern den Entschlüsselungscode zu bekommen mit Erfolg.
Die Beträge, die dabei fließen, sind höchst unterschiedlich. Unternehmen müssen abwägen, was am Ende teurer kommt: eine komplette Wiederherstellung ihres Systems oder das Lösegeld. Die Polizei rät strikt davon ab, die Forderungen zu erfüllen alleine schon, um Kriminelle nicht zu unterstützen. Trotzdem sollte nicht verschwiegen werden, dass aus wirtschaftlicher Sicht eine Zahlung manchmal sogar sinnvoller sein kann. Nur: Ob die Erpresser wirklich Wort halten, weiß niemand. Am Ende hat man womöglich Verbrecher unterstützt und doppelt verloren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Umfrage zu solchen Erpressungs-Trojanern ("Ransomware") gestartet. Von 592 Unternehmen, die daran teilnahmen, gaben 32 Prozent an, innerhalb des vergangenen halben Jahres angegriffen worden zu sein. Betroffen waren alle Branchen, unabhängig von der Größe des Betriebs. Am häufigsten machte der Trojaner "Locky" Ärger, gefolgt von "TeslaCrypt". Fast immer kamen die Schädlinge durch E-Mail-Anhänge ins Netzwerk. 95 Prozent der Befragten haben nach eigenen Angaben kein Lösegeld gezahlt. Obwohl es sich um ein Verbrechen handelt, erstatteten nur 18 Prozent eine Anzeige.
Umso mehr sollte Unternehmen daran gelegen sein, erst gar nicht in eine solche Situation zu gelangen. Doch zu viele nehmen ihre IT-Sicherheit nicht ernst. So hat das amerikanische Forschungsinstitut CSIS herausgefunden, dass in Deutschland allein im Jahre 2014 ein Gesamtschaden von 46 Milliarden Euro durch Cyber-Attacken entstanden ist. Die Bundesrepublik liegt damit im weltweiten Vergleich auf Platz eins. Dabei gibt es durchaus Möglichkeiten, sich vor Schädlingen wie Locky zu schützen. Die simpelste: Vorsicht. Auch wenn bestimmte Tipps im Geschäftsalltag an Grenzen stoßen (zum Beispiel E-Mail-Anhänge von Unbekannten nicht zu öffnen), sollte eine regelmäßige Datensicherung Pflicht sein. Das Thema muss nur ernst genommen werden.
46 Milliarden Euro Schaden nur in Deutschland
Dass das auch für Mittelständler kein Problem ist, beweist Heinrich Lauck. Der 58-Jährige leitet die Dr. Lauck GmbH in Freiburg, einen Zwölf-Mann-Betrieb für Oberflächentechnik. Lauck ist so etwas wie ein IT-Musterschüler. USB-Sticks sind für seine Mitarbeiter tabu, für E-Mails gelten strenge Regeln. Der Internet Explorer darf nicht benutzt werden, stattdessen nur der Konkurrent Firefox (und zwar ohne Java). Backups sind genauso selbstverständlich wie regelmäßige Mitarbeiter-Schulungen. Obendrein kommt einmal im Monat ein externer Techniker vorbei "zur Durchsicht", wie Lauck sagt.
Zwischen 7.000 und 8.000 Euro investiert der Unternehmer jedes Jahr in die IT-Sicherheit. "Richtig viel Geld", meint Lauck, "aber alles andere wäre fahrlässig". In seiner Firma hänge inzwischen fast alles am Computer von der Heizung bis zur Steuerung der Bad-Straße, in der Aluminium-Teile eloxiert werden. "Ich behalte mir vor, auf E-Mails im Firmennetz zuzugreifen", sagt Lauck. "Wer neu hier ist, fühlt sich dadurch vielleicht kontrolliert. Aber anders geht es leider nicht."
Tatsächlich haben sich all diese Vorsichtsmaßnahmen schon einmal bewährt, berichtet der Unternehmer und zwar ausgerechnet bei einem EDV-Spezialisten, der in der Firma zu tun hatte. "Er kam vorbei, um ein Update zu installieren", erzählt Lauck. Als er seine CD eingelegt hatte, entdeckte unser System einen Virus." Was für den EDV-Mann peinlich war, bestätigte Lauck in seinem strengen Regiment.
Mit Verschlüsselungs-Trojanern habe er sich bisher nicht herumärgern müssen, erzählt der Mittelständler. Für den Fall der Fälle will er aber vorbereitet sein im Gegensatz zu manch anderer Firma, wie Lauck noch ergänzt. Die vernachlässigten den Schutz ihrer Netzwerke so stark, dass es an Fahrlässigkeit grenze. "Das ist kein Seiltanz mehr ohne Netz", sagt Lauck, "sondern ein Seiltanz ohne Seil".
Steve Przybilla
INFO: So schützen Sie sich
Datensicherung: Nur wer seine Daten regelmäßig sichert, kann sie im Falle eines Hacker-Angriffs wiederherstellen. Welche Methode man wählt, hängt von der Größe des Betriebs ab. In kleinen Firmen reichen womöglich DVDs oder Blu-Rays aus, um Rechnungen, E-Mails und Dokumente zu archivieren. Weitere Möglichkeiten: externe Festplatten oder Cloud-Dienste (aus Datenschutzgründen am besten bei europäischen Anbietern). Mithilfe von Programmen wie "Duplicati" oder "GoodSync" lassen sich Backups komfortabel organisieren.
Wachsamkeit: Trojaner übertragen sich meist dadurch, dass E-Mail-Anhänge sorglos geöffnet werden. Eine besonders hohe Gefahr geht von Exe- und Word-Dateien aus. Erhält man eine solche Datei von Unbekannten, sollte sie niemals geöffnet werden. Im Zweifel lieber zum Telefon greifen und nachfragen, ob die betreffende E-Mail auch wirklich vom genannten Absender versendet wurde. Außerdem sollten Virenscanner, Firewalls, Betriebssysteme und andere Programme immer auf dem aktuellen Stand gehalten werden.
Versicherung: Absolute Sicherheit gibt es nicht. Deshalb könnte der Abschluss einer "Cyber-Police" sinnvoll sein. Sie kommt für Kosten auf, die bei einem Hackerangriff anfallen, zum Beispiel für die Wiederherstellung von Daten, Produktionsausfall, die Bezahlung von Technikern oder Anwaltskosten wegen Datenschutz-Vergehen (falls Kundendaten gestohlen wurden). Laut Gesamtverband der Deutschen Versicherungswirtschaft (GDV) gibt es auf dem deutschen Markt derzeit rund 20 Anbieter, die Cyber-Policen verkaufen (etwa Allianz, Axa, HDI). Da es sich um ein relativ neues Geschäftsfeld handelt, können die Leistungen erheblich variieren. Musterbedingungen werden laut GDV erst noch erarbeitet. Die Suche nach einer passenden Police ist daher aufwendig.