Oldenburg - Es ist in diesen Tagen wieder von „Hackerangriffen“ auf die Verlagsgruppe Madsack (Hannoversche Allgemeine Zeitung, Neue Presse, Göttinger Tageblatt, Lübecker Nachrichten), zu lesen. Eine Verschleierung der Fakten könnte man das nennen, oder neudeutsch „Framing“.
Der Begriff suggeriert, dass so etwas einfach passiert. Wie eine Naturkatastrophe. Schlimm, aber da kann man nix machen. Doch so werden der Staat, alle Unternehmen und jeder einzelne Nutzer aus ihrer Verantwortung entlassen.
Pannen im Dunkeln
Denn das Phänomen betrifft nicht nur Verlage wie Madsack, oder im Dezember die Funke Mediengruppe (Westdeutsche Allgemeine Zeitung, Neue Rhein Zeitung, Hamburger Abendblatt). Hier fällt es nur schneller auf. Doch jede Firma, die es verschweigen kann, dass sie mit einem Schlag alle Daten verloren hat, tut dies auch. Fachleute und Ermittler gehen von einer hohen Dunkelziffer von Betroffenen aus, die auf die Lösegeldforderungen eingehen. Lebensgefährlich wird es, wenn kritische Infrastruktur betroffen ist, wie im Herbst 2020 die Uniklinik Düsseldorf.
Die kriminellen Programmierer sitzen dabei nicht im schummrigen Keller mit Glasfaseranschluss und bahnen sich wie wild tippend den Weg in fremde Computersysteme, um deren Eigentümer zu erpressen. Wahrscheinlich sieht es bei diesen Leuten aus, wie bei allen anderen. Und: Sie haben ihre Arbeit längst getan und warten jetzt auf den Geldeingang.
Banale Manipulation
Was tatsächlich passiert? Es ist banal. Viele bekommen täglich E-Mails von Unbekannten. Klar: Betreffs wie „Viagra - ganz billig“ oder „Ich möchte dich kennenlernen“ landen gleich im Spam-Ordner. Doch vielleicht heißt der Absender „Thorsten Schmidt“ oder „Melanie Schulze“ oder „Müller Reinigungsservice GmbH“. Angehängt eine Datei die zum Beispiel „Rechnung.doc“ heißt. Wer in seinem Berufsleben keine Rechnungen bearbeitet, wird die E-Mail vielleicht löschen. Es braucht jedoch nur ein Mitarbeiter – trotz Warnungen des Systems – den Anhang zu öffnen. Dann installiert sich unbemerkt im Hintergrund ein Verschlüsselungstrojaner. Das Schadprogramm beginnt sich durch den Server zu fressen. Es verschlüsselt alle Daten.
Manchmal ist es ein bisschen komplizierter, wie bei der Universitätsklinik Düsseldorf. Dort hatten die Angreifer zunächst Monate vorher einen „Loader“ installiert, der zu einem späteren Zeitpunkt die eigentliche Schad-Software nachlädt. Vermutlich hatten sie – einmal im System – auch eine „Backdoor“, ein weiteres Hintertürchen geöffnet, falls Sicherheitslücken vorzeitig entdeckt und geschlossen würden.
Sind die Daten verschlüsselt, geht nichts mehr. Gewöhnlich erreicht das betroffene Unternehmen eine Lösegeldforderung mit dem Verweis auf ein Bitcoin-Konto. Was ist also zu tun?
Unternehmen müssen mehr in ihre IT-Sicherheit investieren, in gute Firewalls und gute Anti-Viren-Programme - und in die Schulung ihrer Mitarbeiter. Die müssen sensibel und misstrauisch bleiben, bei jeder E-Mail, die sie erreicht. Auch am Heim-PC.
Hersteller in die Pflicht
Der Chaos Computer Club (CCC) fordert außerdem, dass der Staat Haftungsstrukturen schafft, die Firmen verpflichtet, ihre Sicherheitssoftware auf aktuellem Stand zu halten. Auch Hersteller seien in der Verantwortung: „Es ist ein ziemliches Versagen, dass die Sicherheitseinstellungen solche Vorfälle zulassen“, sagt Karolin Varner vom CCC Hannover. Es sei unverständlich, dass es Produkte gebe, in denen das Herunterladen von Schadsoftware möglich ist.
Im Fall der Uniklinik Düsseldorf halfen die Angreifer selbst beim Entschlüsseln. Sie wollten nämlich eigentlich die Universität angreifen. Trotz der Hilfe der Täter liefen die Systeme des Krankenhauses nach Wochen immer noch nicht wieder normal. Und es laufen Ermittlungen, ob nicht eine Patientin, die nicht in die Uniklinik eingeliefert werden konnte, durch die Verzögerung bei ihrem Transport nach Wuppertal gestorben ist.