Die Erpressung kommt per E-Mail

Von Helmut Mittermayr

Reutte –Franz Insam war guter Dinge, als er in der „Autounternehmung Anton Specht“ ein Bewerbungsschreiben per E-Mail bekam. Wie passend, die Firma suchte ja gerade jemanden. Als er den Anhang öffnete, wünschte er sich, die Zeit zurückdrehen zu können. Die E-Mail hatte eine Variante eines Lösegeld-Trojaners enthalten. Der Kryptolocker verschlüsselte die Daten auf dem Rechner des Opfers. Plötzlich waren nur noch Zahlenreihen zu sehen. Insam sprang auf und zog in seiner Not die Stecker der anderen Rechner und Server. Wenig später flatterte eine E-Mail mit einer unmissverständlichen Forderung ins Haus: 4000 Euro solle die Firma zahlen, dann würde umgehend ein Dekryptierungscode geschickt werden, mit dem die Verschlüsselung aufgehoben werde. Bei Specht entschied man sich, nicht zu zahlen und die Polizei zu verständigen. „Wir hatten Gott sei Dank eine gute Datensicherung installiert. Alle zwölf Stunden wird bei uns ein Back-up aller Daten erstellt. So konnte unsere IT-Firma alles wiederherstellen“, sagt Franz Insam. Billig sei der Spaß aber trotzdem nicht gewesen. Rechne er alle „Mann-Stunden“ mit dem EDV-Fachmann, dann habe die Firma der „Angriff“ an die 6000 Euro gekostet.

Für Martin Nigg, Chef der Firma Intraservice, ein IT-Lösungsdienstleister aus Reutte, ist die Problematik nicht neu, ganz im Gegenteil. Der Höhepunkt dürfte zwar überschritten sein. Aber allein Nigg spielte in den vergangenen zwölf Monaten ganze 30-mal Feuerwehr, als es bei Unternehmen im Bezirk „brannte“. Am Anfang habe er noch schlecht geschlafen, als er diese Lawine auf das Außerfern zukommen sah. „Inzwischen haben wir die Wiederherstellung der Daten im Griff, wenn es vorher Datensicherungen gegeben hat. Ich kann nur sagen Back-up, Back-up, Back-up und nochmals Back-up. Nichts anderes hilft. Man kann sich nicht gegen diese Kryptolocker schützen.“ Bei Niggs erstem Malware-Notruf vor mehr als einem Jahr hatte der Betroffene keine Datensicherung, die Lösegeldforderung betrug „nur“ 500 Euro. „Also zahlte man, das erschien dem Opfer noch als günstiger Rettungsversuch.“ Nigg kann inzwischen nur allen abraten, dies zu tun, denn ein Entschlüsselungscode wurde trotz der Lösegeldzahlung nicht geschickt. Auch der Weg zur Polizei würde leider nicht viel bringen: „Das ist eine Anzeige ins Nirwana.“ Die Täter seien noch nie erwischt worden, würden hochverschlüsselt „in Schurkenstaaten im Darknet“ sitzen. Nigg glaubt, dass die Dunkelziffer noch viel höher ist und es viele Betroffene gibt, die aus Scham schweigen würden – und auch gezahlt hätten.

Dem IT-Spezialisten ist klar, „dass man einen Tod sterben muss“. Damit meint er, dass ein offener Zugang zum Netz und Sicherheit nicht gleichzeitig machbar sind. „Abdrehen, wegsperren – nur so geht es.“ Genau diesen Weg geht auch das Bezirkskrankenhaus Reutte, wo die Computernutzungsbedingungen für die 466 Mitarbeiter angesichts der Bedrohungslage seit Anfang des Jahres so verschärft worden sind, dass schon das normale Arbeiten extrem behindert ist. Trotzdem wurde vor vier Monaten auf dem privaten Computer einer hausinternen Ordination, die nicht mit dem BKH-Netzwerk verbunden war, ein Lösegeld-Trojaner aktiv. Genau das gleiche Muster wie bei der Firma Specht kam zum Tragen – ein angebliches Bewerbungsschreiben wurde im Primarbüro geöffnet, der Kryptolocker verschlüsselte die Daten. Die Folgen waren dramatisch, blieben aber auf die Privatordination begrenzt. Und auch hier wurde Geld verlangt.

Für BKH-Verwalter Dietmar Baron hat sich Datenschutz seit Längerem zu einem Zentralanliegen des Hauses entwickelt, geht es doch immer auch um hochsensible Patientendaten bis hin zur OP-Sicherheit, ganz abgesehen von der Tatsache, dass im Worst Case alles „stehen“ könnte. Externe Fachleute prüfen längst alle E-Mails und Eingänge, bevor die Mitarbeiter überhaupt darauf zugreifen können. Gewisse Google-Nutzungen, YouTube – vieles ist am BKH Reutte gesperrt. Im vorigen Jahr hatte ein Computer des BKH nach einer Attacke von sich aus 10.000 E-Mails versendet. Das fand niemand lustig, einen Tag lang war das Krankenhaus daraufhin selbst auf die Blacklist geraten. „Durch die Vorsorgemaßnahmen konnten an die 14.000 Spams abgefangen und Attacken abgewehrt werden“, erklärt Baron. Alles werde inzwischen zigfach gespiegelt. Datenschutz verschlinge ein Drittel der Ressourcen des IT-Bereichs am BKH.

Den einen Doppelklick auf ein Bewerbungsschreiben hätte sich auch Birgit Aldrian-Holzner gerne erspart. Die Geschäftsführerin des Außerferner Sozial- und Gesundheitssprengels war kaum im Amt, als sie den E-Mail­-Anhang öffnete – und „alles war zerstört“. Mitbetroffen im gleichen Netzwerk war auch das Rote Kreuz Reutte. „Gott sei Dank konnte nach einigen Stunden alles wiederhergestellt werden, weil wir Back-ups hatten. Daten gingen keine verloren.“ Besonders hinterfotzig – die Malware-E-Mails sind meist direkt an Personen gerichtet.