Der erste Hilferuf kam am frühen Mittwochmorgen der vergangenen Woche. Ein Mitarbeiter des NRW-Innenministeriums in Düsseldorf meldete der IT-Hotline Probleme mit seinem Rechner. Wenige Minuten später war den IT-Experten beim Innenminister klar, dass in ihren Rechnersystemen ein Softwareschädling bislang ungekannter Bauart unterwegs war. Um dessen Ausbreitung zu stoppen, zogen die Cyber-Spezialisten fast bildlich den Stecker und legten kurzerhand große Teile der IT in ihrer Behörde still.
Wie hartnäckig der Schädling war, zeigte sich erst schrittweise. Zwar seien weder bei der NRW-Polizei noch beim Verfassungsschutz sicherheitsrelevante Systeme befallen gewesen, betont ein Sprecher von Landesinnenminister Ralf Jäger auf Anfrage der WirtschaftsWoche. Dennoch dauerte es am Ende mehr als zwei Tage, bis auch Ministeriale und Sekretariate Ende wieder Zugang zu E-Mail-Postfächern, Datenbanken und Web-Seiten bekamen.
Inzwischen sind die Beamten zwar sicher, dass ihre Rechner wieder sauber sind, "doch wie genau der Angriff vonstatten gegangen ist, und auch, welche Abwehrmaßnahmen wir daraus ableiten müssen, das untersuchen unsere Spezialisten derzeit noch". Soviel aber ist schon klar: Auch die Beamten in der NRW-Landeshauptstadt wurden Opfer einer neuen und offenbar besonders aggressiven Version des Schadprogramms TeslaCrypt.
Gefahr in harmlos scheinenden Dateianhängen
Dieser digitale Schädling ist offenbar gerade in der Vorweihnachtszeit millionenfach im Netz unterwegs. "Diverse Meldungen zeugen von einer steigenden Verbreitung dieser Variante von Schadsoftware, welche Daten verschlüsselt und anschließend ein Lösegeld fordert", warnt etwa die Schweizer Melde- und Analysestelle Informationssicherung Melani seit wenigen Tagen.
TeslaCrypt ist - wie seine älteren Verwandten AlphaCrypt, CryptoLocker, Synolocker oder Cryptowall - ein sogenannter Trojaner, Software, die ihren gefährlichen Programmcode - ähnlich dem historischen Trojanischen Pferd - heimlich auf den PC des Opfers schleust. In der Regel passiert das, in dem Hacker das Angriffsprogramm in unverdächtig wirkenden E-Mail-Anhängen verstecken. Tatsächlich aber verbirgt sich darin aggressiver Schadcode, der aktiv wird, sobald der Nutzer versucht den Anhang zu öffnen.
Chronik: Die größten Datendiebstähle
Der japanische Unterhaltungskonzern Sony meldet das illegale Ausspähen mehrerer Server. Betroffen sind 77 Millionen Nutzer, die sich auf der Plattform der Spielkonsole „Playstation“ registriert hatten.
Hacker erschleichen sich den Zugang zu Rechnern des Online-Bekleidungsshops Zappos und stehlen 24 Millionen Kundendaten. Zappos ist eine 100-prozentige Tochter des Web-Warenhauses Amazon.
Vodafone zeigt den Diebstahl von zwei Millionen Kundendaten in Deutschland an. Ein Hacker stahl von Rechnern des Mobilfunkkonzerns Namen, Adressen und Kontodaten.
Hacker dringen in Datenbanken des US-Softwareherstellers Adobe ein und stehlen Listen mit 152 Millionen Nutzerdaten. Sie konnten dabei auch die verschlüsselt gespeicherten Passwörter knacken.
In Datenbanken der US-Warenhauskette Target dringen Hacker ein und stehlen 110 Millionen Kundendaten, darunter knapp 40 Millionen Kredit- und EC-Kartendaten.
Die Datenbank des Online-Auktionshauses Ebay wird angezapft. Die Hacker, die über gestohlene Mitarbeiterzugänge eindrangen, kommen in den Besitz von 145 Millionen Daten inklusive Passwörter und weiteren persönlichen Daten.
Bei der US-Baumarktkette Home Depot knacken Hacker die Sicherheitsvorkehrungen von Zahlungssystemen. Die Kreditkartendaten von 56 Millionen Kunden werden ausspioniert.
Die US-Bank JP Morgan wird Opfer eines groß angelegten Cyberangriffs. Daten von 76 Millionen Privatkunden und sieben Millionen Firmenkunden fallen in die Hände von Hackern. Ausgespäht wurden Name, Adresse, Telefonnummer und E-Mail-Adresse.
So geschehen wohl auch beim Landschaftsverband Rheinland in Köln, wo rund 12.000 Rechner vom Befall mit dem TeslaCrypt-Trojaner betroffen waren und die Behörde als Folge davon ebenfalls zwei Tage offline war, wie die "Kölnische Rundschau" berichtet.
Zwar nicht offline, aber ebenfalls betroffen war die Funke Mediengruppe mit Hauptsitz in Essen. Dort, aber auch an Standorten in Erfurt und Bielefeld traten nach WirtschaftsWoche-Informationen ebenfalls in der vergangenen Woche mehrere Trojaner-Angriffe Teile auf. "Unser Haus ist von Schadsoftware betroffen", bestätigt Unternehmenssprecher Andreas Bartel auf Anfrage. Es habe sich um Verschlüsselungssoftware gehandelt, so Bartel, der allerdings betont, "die Produktion war zu keinem Zeitpunkt gefährdet".
Dennoch war die Lage zumindest so brisant, dass die IT-Verantwortlichen zeitweilig die Übermittlung von E-Mails mit angehängten Word-Dokumenten komplett blockiert haben, um die Ausbreitung der Schadsoftware zu stoppen, das geht aus entsprechenden internen Warnschreiben hervor, die die Funke-IT verschickt hat. Nach Informationen der WirtschaftsWoche war zumindest ein Teil der verseuchten E-Mails als Rechnungen für Bestellungen von Bürobedarf oder angebliche Reifenwechsel getarnt.
