Trojaner-Alarm Der Erpresser kommt mit der Weihnachts-Post

Eine neue Welle von Software-Schädlingen verbreitet sich in der Nachrichtenflut. Die Hacker verstecken ihre Schadprogramme in unverdächtigen E-Mails. Privatleute, Behörden, Ministerien und Medien sind betroffen.

Verbrechen 4.0: Die Zukunft der Kriminalität ist digital Quelle: Getty Images

Der erste Hilferuf kam am frühen Mittwochmorgen der vergangenen Woche. Ein Mitarbeiter des NRW-Innenministeriums in Düsseldorf meldete der IT-Hotline Probleme mit seinem Rechner. Wenige Minuten später war den IT-Experten beim Innenminister klar, dass in ihren Rechnersystemen ein Softwareschädling bislang ungekannter Bauart unterwegs war. Um dessen Ausbreitung zu stoppen, zogen die Cyber-Spezialisten fast bildlich den Stecker und legten kurzerhand große Teile der IT in ihrer Behörde still.

Wie hartnäckig der Schädling war, zeigte sich erst schrittweise. Zwar seien weder bei der NRW-Polizei noch beim Verfassungsschutz sicherheitsrelevante Systeme befallen gewesen, betont ein Sprecher von Landesinnenminister Ralf Jäger auf Anfrage der WirtschaftsWoche. Dennoch dauerte es am Ende mehr als zwei Tage, bis auch Ministeriale und Sekretariate Ende wieder Zugang zu E-Mail-Postfächern, Datenbanken und Web-Seiten bekamen.

Inzwischen sind die Beamten zwar sicher, dass ihre Rechner wieder sauber sind, "doch wie genau der Angriff vonstatten gegangen ist, und auch, welche Abwehrmaßnahmen wir daraus ableiten müssen, das untersuchen unsere Spezialisten derzeit noch". Soviel aber ist schon klar: Auch die Beamten in der NRW-Landeshauptstadt wurden Opfer einer neuen und offenbar besonders aggressiven Version des Schadprogramms TeslaCrypt.

Gefahr in harmlos scheinenden Dateianhängen

Dieser digitale Schädling ist offenbar gerade in der Vorweihnachtszeit millionenfach im Netz unterwegs. "Diverse Meldungen zeugen von einer steigenden Verbreitung dieser Variante von Schadsoftware, welche Daten verschlüsselt und anschließend ein Lösegeld fordert", warnt etwa die Schweizer Melde- und Analysestelle Informationssicherung Melani seit wenigen Tagen.

TeslaCrypt ist - wie seine älteren Verwandten AlphaCrypt, CryptoLocker, Synolocker oder Cryptowall - ein sogenannter Trojaner, Software, die ihren gefährlichen Programmcode - ähnlich dem historischen Trojanischen Pferd - heimlich auf den PC des Opfers schleust. In der Regel passiert das, in dem Hacker das Angriffsprogramm in unverdächtig wirkenden E-Mail-Anhängen verstecken. Tatsächlich aber verbirgt sich darin aggressiver Schadcode, der aktiv wird, sobald der Nutzer versucht den Anhang zu öffnen.

Chronik: Die größten Datendiebstähle

So geschehen wohl auch beim Landschaftsverband Rheinland in Köln, wo rund 12.000 Rechner vom Befall mit dem TeslaCrypt-Trojaner betroffen waren und die Behörde als Folge davon ebenfalls zwei Tage offline war, wie die "Kölnische Rundschau" berichtet.

Zwar nicht offline, aber ebenfalls betroffen war die Funke Mediengruppe mit Hauptsitz in Essen. Dort, aber auch an Standorten in Erfurt und Bielefeld traten nach WirtschaftsWoche-Informationen ebenfalls in der vergangenen Woche mehrere Trojaner-Angriffe Teile auf. "Unser Haus ist von Schadsoftware betroffen", bestätigt Unternehmenssprecher Andreas Bartel auf Anfrage. Es habe sich um Verschlüsselungssoftware gehandelt, so Bartel, der allerdings betont, "die Produktion war zu keinem Zeitpunkt gefährdet".

Dennoch war die Lage zumindest so brisant, dass die IT-Verantwortlichen zeitweilig die Übermittlung von E-Mails mit angehängten Word-Dokumenten komplett blockiert haben, um die Ausbreitung der Schadsoftware zu stoppen, das geht aus entsprechenden internen Warnschreiben hervor, die die Funke-IT verschickt hat. Nach Informationen der WirtschaftsWoche war zumindest ein Teil der verseuchten E-Mails als Rechnungen für Bestellungen von Bürobedarf oder angebliche Reifenwechsel getarnt.

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%