Das Geschäft mit dem Virus
Viele haben es in den vergangenen Wochen erlebt: Auf einmal ist der Computer blockiert, selbst nach einem Neustart ändert sich nichts. Es wird nur noch eine Meldung angezeigt, die behauptet, dass das Bundeskriminalamt den Rechner gesperrt hat. Doch das stimmt nicht.
Zoran Gvoic ist Systemadministrator bei einem mittelständischen Unternehmen und wird auch privat bei Computerproblemen oft um Hilfe gefragt, immer wieder auch wegen des so genannten BKA-Trojaners.
"Also innerhalb von zwei, drei Monaten kamen schon gute zehn Anrufe an, wo das Problem halt geschildert wurde, dass sie irgendwas sehen und irgendwas mit BKA und müssen Geld zahlen und haben Angst."
Diese Angst wird ausgelöst durch eine Mischung aus technischem Angriff und Erpressung durch perfide Täuschung. Technisch gesehen ist das Phänomen schnell erklärt: Der Computer wird durch einen verseuchten Mailanhang oder beim Besuch einer Webseite angegriffen. Die dabei installierte Schadsoftware unterbindet den Zugriff auf den eigenen Computer von nun an komplett und zeigt stattdessen nur noch eine Meldung an, die so wirkt, als würde sie von einer offiziellen Stelle kommen . Im aktuellen Fall sieht die Meldung aus, wie eine offizielle Nachricht vom Bundeskriminalamt, in der es heißt:
Die Funktionen ihres Computers wurden aus Gründen unbefugter Netzaktivitäten ausgesetzt." Das Bundeskriminalamt habe "die Wiedergabe von pornografischen Inhalten mit Minderjährigen festgestellt." 100 Euro solle man zahlen, dann werde der Computer wieder entsperrt.
Wegen dieses Vorgehens wird diese Art von Software auch Ransomware genannt, also Erpresser-Software. Die Panikmache funktioniert, das weiß auch Zoran Gvoic:
"Einerseits Angst um ihre Daten, jetzt ist irgendwie alles weg und was ist mit meinen Daten? Auf der anderen Seite haben Sie schon Angst, dass da irgendwas dran sein könnte und sie jetzt erwischt wurden bei irgendetwas."
Wie viele dieser Angriffe es bisher gab, ist unklar - das Bundeskriminalamt will keine Fallzahlen veröffentlichen, da es von einer sehr hohen Dunkelziffer ausgeht. Bekannt ist, dass die Opfer durchweg Windows-Nutzer sind, weiß Jürgen Schmidt vom Computermagazin c't:
"Das ist definitiv, dass Windows das lohnenswertere Ziel ist, im Prinzip das gleiche könnte man auf ähnliche Art und Weise auch auf nem Mac oder nem Linuxsystem genauso umsetzen."
Doch durch die geringere Verbreitung sind diese Systeme für Kriminelle nicht so interessant. Aber was tun, wenn der eigene Computer von so einem Schädling infiziert ist?
"Also innerhalb von zwei, drei Monaten kamen schon gute zehn Anrufe an, wo das Problem halt geschildert wurde, dass sie irgendwas sehen und irgendwas mit BKA und müssen Geld zahlen und haben Angst."
Diese Angst wird ausgelöst durch eine Mischung aus technischem Angriff und Erpressung durch perfide Täuschung. Technisch gesehen ist das Phänomen schnell erklärt: Der Computer wird durch einen verseuchten Mailanhang oder beim Besuch einer Webseite angegriffen. Die dabei installierte Schadsoftware unterbindet den Zugriff auf den eigenen Computer von nun an komplett und zeigt stattdessen nur noch eine Meldung an, die so wirkt, als würde sie von einer offiziellen Stelle kommen . Im aktuellen Fall sieht die Meldung aus, wie eine offizielle Nachricht vom Bundeskriminalamt, in der es heißt:
Die Funktionen ihres Computers wurden aus Gründen unbefugter Netzaktivitäten ausgesetzt." Das Bundeskriminalamt habe "die Wiedergabe von pornografischen Inhalten mit Minderjährigen festgestellt." 100 Euro solle man zahlen, dann werde der Computer wieder entsperrt.
Wegen dieses Vorgehens wird diese Art von Software auch Ransomware genannt, also Erpresser-Software. Die Panikmache funktioniert, das weiß auch Zoran Gvoic:
"Einerseits Angst um ihre Daten, jetzt ist irgendwie alles weg und was ist mit meinen Daten? Auf der anderen Seite haben Sie schon Angst, dass da irgendwas dran sein könnte und sie jetzt erwischt wurden bei irgendetwas."
Wie viele dieser Angriffe es bisher gab, ist unklar - das Bundeskriminalamt will keine Fallzahlen veröffentlichen, da es von einer sehr hohen Dunkelziffer ausgeht. Bekannt ist, dass die Opfer durchweg Windows-Nutzer sind, weiß Jürgen Schmidt vom Computermagazin c't:
"Das ist definitiv, dass Windows das lohnenswertere Ziel ist, im Prinzip das gleiche könnte man auf ähnliche Art und Weise auch auf nem Mac oder nem Linuxsystem genauso umsetzen."
Doch durch die geringere Verbreitung sind diese Systeme für Kriminelle nicht so interessant. Aber was tun, wenn der eigene Computer von so einem Schädling infiziert ist?
Auf gar keinen Fall bezahlen!
Zunächst einmal sollte auf gar keinen Fall gezahlt werden! Das Geld verschwindet in dunklen Kanälen, und der Computer bleibt für den Geschädigten weiter unbenutzbar. Aber: Die Software kann in vielen Fällen vom System entfernt werden. Wer keinen Fachmann hinzuziehen will, kann sich auch selber helfen: Beim Anti-Botnet Beratungszentrum, einer Initiative des Bundesamts für Sicherheit in der Informationstechnik BSI und des Branchenverbandes eco.
Die Adresse bka-trojaner.de hört sich vielleicht nicht vertrauenswürdig an, ist aber eine Webseite des Anti-Botnet Beratungszentrums. Hier werden die verschiedenen Varianten von Ransomware gesammelt, Diskussionsforen für Betroffene zur Verfügung gestellt und ein Programm zum Download angeboten, mit der die Schadsoftware entfernt werden kann. Mit der Entfernung des Schädlings ist es aber nicht getan, warnt Jürgen Schmidt von der c't:
"Also dann ist zumindest mal diese Trojanerfunktion weg, es kann durchaus sein, dass der noch weitere Sachen angerichtet hat, unter Umständen weitere Hintertüren im System eingerichtet hat, das kann man nie ausschließen."
Der Experte empfiehlt deshalb nach einem Befall eine komplette Neuinstallation des Systems. Das ist zwar aufwendig, aber nur so kann sichergestellt werden, dass sich wirklich keine Schadsoftware mehr auf dem Rechner befindet. Zum Schutz vor neuen Infektionen gilt es alle Programme auf dem neuesten Stand zu halten und eine Antivirensoftware zu installieren. Jürgen Schmidt empfiehlt außerdem:
"Java zu deinstallieren, die meisten Leute brauchen das nicht, haben es aber trotzdem auf dem Rechner und das ist ein wichtiges Einfallstor für den BKA-Trojaner."
Die Adresse bka-trojaner.de hört sich vielleicht nicht vertrauenswürdig an, ist aber eine Webseite des Anti-Botnet Beratungszentrums. Hier werden die verschiedenen Varianten von Ransomware gesammelt, Diskussionsforen für Betroffene zur Verfügung gestellt und ein Programm zum Download angeboten, mit der die Schadsoftware entfernt werden kann. Mit der Entfernung des Schädlings ist es aber nicht getan, warnt Jürgen Schmidt von der c't:
"Also dann ist zumindest mal diese Trojanerfunktion weg, es kann durchaus sein, dass der noch weitere Sachen angerichtet hat, unter Umständen weitere Hintertüren im System eingerichtet hat, das kann man nie ausschließen."
Der Experte empfiehlt deshalb nach einem Befall eine komplette Neuinstallation des Systems. Das ist zwar aufwendig, aber nur so kann sichergestellt werden, dass sich wirklich keine Schadsoftware mehr auf dem Rechner befindet. Zum Schutz vor neuen Infektionen gilt es alle Programme auf dem neuesten Stand zu halten und eine Antivirensoftware zu installieren. Jürgen Schmidt empfiehlt außerdem:
"Java zu deinstallieren, die meisten Leute brauchen das nicht, haben es aber trotzdem auf dem Rechner und das ist ein wichtiges Einfallstor für den BKA-Trojaner."
Juristisches Problem im Nachgang
Und außerdem empfiehlt es sich immer, die persönlichen Daten in einem Backup zu sichern, damit im schlimmsten Fall nichts verloren geht. Damit ist die technische Seite der Erpressersoftware abgehandelt. Die aktuellen Versionen des BKA-Trojaners können dem User aber noch ein juristisches Problem bescheren: Er kann sich sehr leicht selber strafbar machen. Das BKA warnt in einer aktuellen Pressemeldung:
"Bitte beachten Sie im Fall einer Infektion Ihres Computers mit dieser Ransomware, dass die Sicherung der enthaltenen jugendpornografischen Abbildung eine Besitzverschaffung bzw. einen strafbaren Besitz von Jugendpornografie darstellt."
Der Trojaner versucht dem Nutzer weiszumachen, dass auf seinem Rechner jugendpornografische Bilder gefunden wurden und zeigt ebensolche an - die aber von der Schadsoftware mitgebracht werden. Wer jetzt aber ein Bildschirmfoto davon anfertigt, um die Erpressung zu dokumentieren, macht sich unter Umständen selber strafbar.
Überhaupt kann der Umgang mit einem befallenen Rechner heikel sein. Rechtsanwalt Jens Ferner würde zum Beispiel davon abraten, damit zur Polizei zu gehen:
"Wenn man der dann ganz naiv einfach mitteilt 'Auf meinem Rechner ist Jugendpornografie und ich habe dazu auch einen BKA-Hinweis bekommen, und jetzt ist mein Rechner gesperrt, könnte es sein, dass ein, sagen wir mal, übereifriger Beamter vor Ort Ermittlungen gegen denjenigen anstößt, der sich da gemeldet hat."
Und in einem solchen Fall können Hausdurchsuchung und Rechnerbeschlagnahmung drohen. Die Infektion mit dem BKA-Trojaner kann also in vielerlei Hinsicht eine unangenehme Sache sein. Aber wer sind eigentlich die Hintermänner? Es handelt sich dabei nicht um einzelne Kriminelle, weiß Jürgen Schmidt von der c't:
"Das Problem ist, dass das mittlerweile Baukästen sind, die auch verkauft werden, das heißt es gibt ziemlich sicher verschiedene Gruppen, die das mittlerweile als lukratives Geschäft entdeckt haben und auch tatsächlich durchziehen."
Auch das Geld, das die Opfer bezahlen, wird in mehreren Schritten gewaschen, es handelt sich hier also um eine regelrechte Schattenwirtschaft. Und der kann fast jeder beitreten, weiß Mirko Manske vom Bundeskriminalamt:
"Unsere Einschätzung ist, das ist zu einem Franchisemodell weiterentwickelt worden, und jeder, der zwischen 500 und vielleicht 1000 Dollar hat, um irgendwo einzusteigen, kann in diesem Markt Geschäfte machen."
Immerhin: Manchmal gibt es Teilerfolge: Anfang des Jahres wurden in Spanien Kriminelle festgenommen, die seit 2011 tausende Internetnutzer per BKA-Trojaner um ihr Geld gebracht haben sollen.
"Bitte beachten Sie im Fall einer Infektion Ihres Computers mit dieser Ransomware, dass die Sicherung der enthaltenen jugendpornografischen Abbildung eine Besitzverschaffung bzw. einen strafbaren Besitz von Jugendpornografie darstellt."
Der Trojaner versucht dem Nutzer weiszumachen, dass auf seinem Rechner jugendpornografische Bilder gefunden wurden und zeigt ebensolche an - die aber von der Schadsoftware mitgebracht werden. Wer jetzt aber ein Bildschirmfoto davon anfertigt, um die Erpressung zu dokumentieren, macht sich unter Umständen selber strafbar.
Überhaupt kann der Umgang mit einem befallenen Rechner heikel sein. Rechtsanwalt Jens Ferner würde zum Beispiel davon abraten, damit zur Polizei zu gehen:
"Wenn man der dann ganz naiv einfach mitteilt 'Auf meinem Rechner ist Jugendpornografie und ich habe dazu auch einen BKA-Hinweis bekommen, und jetzt ist mein Rechner gesperrt, könnte es sein, dass ein, sagen wir mal, übereifriger Beamter vor Ort Ermittlungen gegen denjenigen anstößt, der sich da gemeldet hat."
Und in einem solchen Fall können Hausdurchsuchung und Rechnerbeschlagnahmung drohen. Die Infektion mit dem BKA-Trojaner kann also in vielerlei Hinsicht eine unangenehme Sache sein. Aber wer sind eigentlich die Hintermänner? Es handelt sich dabei nicht um einzelne Kriminelle, weiß Jürgen Schmidt von der c't:
"Das Problem ist, dass das mittlerweile Baukästen sind, die auch verkauft werden, das heißt es gibt ziemlich sicher verschiedene Gruppen, die das mittlerweile als lukratives Geschäft entdeckt haben und auch tatsächlich durchziehen."
Auch das Geld, das die Opfer bezahlen, wird in mehreren Schritten gewaschen, es handelt sich hier also um eine regelrechte Schattenwirtschaft. Und der kann fast jeder beitreten, weiß Mirko Manske vom Bundeskriminalamt:
"Unsere Einschätzung ist, das ist zu einem Franchisemodell weiterentwickelt worden, und jeder, der zwischen 500 und vielleicht 1000 Dollar hat, um irgendwo einzusteigen, kann in diesem Markt Geschäfte machen."
Immerhin: Manchmal gibt es Teilerfolge: Anfang des Jahres wurden in Spanien Kriminelle festgenommen, die seit 2011 tausende Internetnutzer per BKA-Trojaner um ihr Geld gebracht haben sollen.