Erpresser-Trojaner bedrohen Touristiker

Erpresser-Trojaner bedrohen Touristiker
Die Namen klingen verspielt, aber die Wirkung kann Existenzen vernichten. Die Gefahr
durch Erpresser-Programme wie Locky, Petya oder CryptXXX wächst. Touristische Firmen
sind betroffen und müssen sich schützen.
von Jochen Eversmeier, 30.05.2016, 14:26 Uhr
Opfer eines Erpresservirus: Auf seiner Website informiert das Profi Reisecenter aus Kempten
die Kunden.
Foto: http://profi-reisecenter.de/
Anzeige
Die Beratung im Profi Reisecenter in Kempten nähert sich dem erfolgreichen Abschluss. Die
Expedientin öffnet aus dem Preisvergleichssystem heraus einen Link mit weiterführenden
Informationen auf einem Ferienwohnungsportal und vertieft sich in das Kundengespräch. Als
sie drei Minuten später wieder auf den Bildschirm blickt, hat der Erpresser-Trojaner
CryptXXX bereits 85 Prozent der Daten verschlüsselt und den Zugriff auf den
Arbeitsplatzrechner unmöglich gemacht.
Profi-Reisecenter-Inhaberin Diana Hirnigl und ihr Team erkennen die Gefahr sofort. Sie
ziehen das Netzwerkkabel am betroffenen Rechner. Dann trennen sie auch alle sieben
weiteren PCs vom internen Server. Dadurch verhindern sie die Ansteckung der Computer und
Speichermedien des Reisebüros. Zusammen mit dem IT-Dienstleister aktiviert sie über eine
sichere Leitung das Back-up vom Vortag. Der infizierte PC wird vollständig gelöscht und neu
aufgesetzt. Innerhalb von 24 Stunden ist das Reisebüro wieder arbeitsfähig. Nur die E-Mails
vom 18. Mai, dem Tag des Cyber-Angriffs, sind verloren.
Jedes dritte Unternehmen mit Ransomware infiziert
Dass die Attacke keine schlimmeren Folgen hat, führt Hirnigl darauf zurück, dass sie einiges
für die virtuelle Sicherheit unternimmt und ihre Mitarbeiter entsprechend schult. Täglich
werden im Profi Reisecenter alle Daten gesichert. Elf Tage lang hebt der IT-Dienstleister
jedes Back-up auf. Damit soll sichergestellt werden, dass auch dann eine nicht infizierte
Sicherung vorhanden ist, falls die Schad-Software erst mit Zeitverzögerung zuschlägt. Zu
wenige ihrer Kollegen hält die Touristikfachwirtin für ähnlich sicherheitsbewusst. „Viele,
viele Reisebüros könnten viele, viele Daten verlieren“, fürchtet Hirnigl. Besonders um kleine
und Ein-Personen-Reisebüros sorgt sie sich. Für diese könnte ein massiver Datenverlust oder
die Neubeschaffung der EDV schnell das wirtschaftliche Aus bedeuten.
Die Befürchtungen sind begründet. Cryptolocker heißt die neue Art von Computer-Viren, die
Daten so verschlüsselt, dass der Besitzer damit nichts mehr anfangen kann, und sie erst gegen
Zahlung von Ransom, so das englische Wort für Lösegeld, wieder freigibt. Deshalb sprechen
Experten auch von Ransomware. Der Öffentlichkeit sind solche Schädlinge durch den
Erpresser-Trojaner Locky bekannt geworden, der sich im Februar dieses Jahres in Windeseile
weltweit verbreitete. Von Locky und seinen jüngeren Verwandten wie Petya und CryptXXX
war jedes dritte Unternehmen in den vergangenen sechs Monaten betroffen. Zu diesem
Ergebnis kommt eine aktuelle Erhebung der Allianz für Cyber-Sicherheit des Bundesamts für
Sicherheit in der Informationstechnik (BSI).
Neue Cryptolocker blockieren den ganzen Rechner
Anzeige
Die Bedrohungslage bewertet das BSI als „unverändert hoch“. Diese Einschätzung teilt auch
Thomas Urbanski vom Virenschutz-Hersteller Gdata. 30 Familien von Schad-Software hat die
Sicherheitsfirma identifiziert, die in immer neuen Varianten auftauchen. Und die werden
immer aggressiver. Locky beschränkt sich noch darauf, bestimmte Dateien oder Dateitypen zu
verschlüsseln. Petya und der aktuell sehr aktive Teslacrypt-Nachfolger CryptXXX sperren
zusätzlich den ganzen Rechner. Eine weitere Besonderheit von CryptXXX ist laut der
Sicherheitsforscher von Trend Micro ein Tarnmechanismus. Erkennt dieser Aufspür- oder
Reparaturversuche, stoppt der Mechanismus die Verschlüsselung und startet sie anschließend
neu.
Auch die Infektionsgefahr hat sich drastisch erhöht. Ältere Schädlinge wie Locky verbreiten
sich vor allem über E-Mail-Anhänge. Erst wenn der Empfänger die manipulierte Datei öffnet,
die sich zum Beispiel als harmloses Word-Dokument tarnt, kann der Virus seine verheerende
Wirkung entfalten. Darauf können sich Firmen zumindest einstellen und ihre Mitarbeiter
anhalten, verdächtige E-Mails samt Dateianhang sofort aus dem Posteingang zu löschen.
Neuere Ransomware wie CryptXXX ist selbst für Sicherheitsexperten kaum zu erkennen,
bevor sie aktiv wird. Sie verteilt sich über kompromittierte Websites oder manipulierte
Anzeigen. Auch bekannte und als vertrauenswürdige geltende Portale können – fast immer
ohne das Wissen ihrer Betreiber – missbraucht werden. Der bloße Besuch einer solchen Site
reicht aus, um den Schädling auf den eigenen Rechner zu schleusen.
Sicherheitsexperten erwarten nächste Stufe der
Bedrohung
Drive-by-Angriff heißt diese Form der Ansteckung im Fachjargon. Von CryptXXX und Co
infiziert werden allerdings nur Windows-Rechner mit den bekannten Schwachstellen. Wie die
Ansteckung genau erfolgt ist, lässt sich im Nachhinein kaum klären. Auch im Fall des
Kemptener Profi Reisecenters ist offen, ob das besuchte Ferienhaus-Portal kompromittiert war
oder ein schon Tage vorher versehentlich geöffneter Dateianhang mit Zeitverzögerung aktiv
geworden ist. Fest steht aber, dass die Verseuchung auch dann erfolgen kann, wenn
weiterführende Links aus einem geschützten Bereich wie einem Preisvergleichssystem
geöffnet werden. Die Folgen sind zum Teil erheblich. In 70 Prozent der betroffenen Firmen
wurden laut Erhebung der Allianz für Cyber-Sicherheit einzelne Arbeitsplatzrechner
verseucht. In jedem fünften betroffenen Unternehmen kam es zu einem erheblichen Ausfall
von Teilen der IT-Infrastruktur, jedes zehnte erlitt einen Verlust wichtiger Daten.
Sicherheitsexperten stellen sich bereits auf die nächste Stufe der Bedrohung ein. Sie erwarten,
dass in naher Zukunft intelligente Trojaner auftauchen. Diese werden, so die Befürchtung,
erkennen können, ob es sich bei dem Erpressten um ein Unternehmen oder eine Privatperson
handelt. Da für Firmen oft mehr auf dem Spiel steht, dürften die Erpresser von diesen künftig
deutlich höhere Lösegelder verlangen. Bislang liegt die geforderte Summe meist bei 400 bis
500 Euro – ein Preis der schnell steigen dürfte, wenn der Leidensdruck bei Unternehmen groß
genug wird.
Um so wichtiger sind Schutzmaßnahmen, die eine Infektion verhindern. Neben einer
gesunden Portion Misstrauen gegenüber allen verdächtigen Dateianhängen und einer
entsprechenden Verhaltensschulung der Mitarbeiter zählt dazu vor allem aktuell gehaltene
Software vom Betriebssystem bis zum Antiviren-Programm. Denn die Schädlinge können nur
dort eindringen, wo sie Schwachstellen finden. Veraltete und vom Hersteller nicht mehr
unterstützte Betriebssysteme wie Windows NT und XP von Microsoft, die auch in der
Reisebranche noch im Einsatz sind, sollten von den Anwendern schnellstmöglich ersetzt
werden. Und weil es keinen vollkommenen Virenschutz gibt, ist die wichtigste Maßnahme
eine regelmäßige Datensicherung auf vom Arbeitsnetzwerk strikt getrennten Speichermedien.
Weitere Tipps gegen Ransomware lassen sich auf der unten genannten Seite des BSI
herunterladen.