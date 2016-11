An der Eingangstür ist ein Roboter in Menschengrösse abgebildet. Einer mit strengem Blick und metallenem Körper. «You are protected» – «du bist geschützt» steht daneben. Auf der anderen Seite erhellt ein grünliches Licht die Räume, an den Wänden ist eine Tapete mit einer Leiterplatine angebracht, es fühlt sich an, als betrete man einen Computer. Es ist das Hauptquartier der IT-Sicherheitsfirma Eset in Bratislava.

Im 17. Stockwerk des Hochhauses direkt an der Donau befindet sich ein Raum, den sie hier alle nur «Houston» nennen. Wie in der amerikanischen Raumfahrtzentrale hängen an der Wand für alle gut sichtbar grosse Bildschirme. Auf ihnen ist die aktuelle Bedrohungslage zu sehen. Drumherum sind drei Reihen Arbeitsplätze mit Computern angeordnet, an denen junge Männer sitzen und konzentriert in ihre Bildschirme starren.

Es sind die «Good Guys», wie sie Peter Kosinar nennt, einer der Forscher der Firma Eset. Sie analysieren die Computerviren, welche die «Bad Guys», die kriminellen Hacker also, in den Umlauf gebracht haben. Dazu nutzen sie Rechner, die nicht ans Netz angeschlossen sind. Sonst könnten sich die Schädlinge noch im Firmennetzwerk verbreiten. Das wäre fatal: Einiges, das sich auf den Festplatten der Virenjäger befindet, hat das Potenzial, die Stromversorgung eines halben Landes lahmzulegen.

Opfer geraten unter Druck

«Sie spielen mit den Schädlingen herum», so beschreibt Peter Kosinar die Arbeit der Good Guys. Es geht darum, herauszufinden, wie die Malware, also die schädliche Software, funktioniert. Denn nur wer sie versteht, kann sie auch unschädlich machen. Zu tun haben die Spezialisten genug. Immer wieder poppen auf den grossen Bildschirmen neue Cyberangriffe in Europa, den USA, Asien oder Russland auf.

Ebenfalls zu sehen ist, welche Attacken von der Antivirus-Software geblockt werden und welche Kunden bereits das neuste Update installiert haben. Mehrmals täglich werden die Virenscanner auf den neusten Stand gebracht. Das ist nötig, denn täglich finden mehr als 1000 neue Schädlinge den Weg ins Internet. In einem ersten Schritt werden diese von Computerprogrammen automatisch untersucht und entschärft. Nur die raffiniertesten werden von den Forschern unter die Lupe genommen.

Besonders in Atem gehalten werden die Virenjäger derzeit von sogenannter Ransomware. Das sind Computerviren, welche die Festplatte der infizierten Rechner verschlüsseln. Der Nutzer hat dann keinen Zugriff mehr auf seine Dokumente, seine Musik, seine Filme und seine Fotos. Meistens versuchen die Hacker, ihre Opfer zu erpressen: Sie wollen für die Entschlüsselung der Dateien Geld.

«Ransomware ist vermutlich der schlimmste Schädling, den sich ein privater Nutzer einfangen kann», sagt Palo Luka, der Technologie-Chef von Eset. So manch einer hat auf diese Weise schon alle seine digitalen Erinnerungen verloren. Denn auch wenn die Opfer einlenken und bezahlen, bleiben die Daten oft für immer verloren, da die Erpresser ihr Wort nicht halten.

«Man sollte nie bezahlen», sagt Righard Zwienenberg. Der Sicherheitsforscher beschäftigt sich bei Eset mit der fiesen Erpressersoftware. Es gelte, den Geldfluss zu unterbinden: Würde niemand mehr bezahlen, hörten die Betrüger schnell mit ihrer Masche auf.

Die Sicherheitsfirma Eset verzeichnete in den letzten Jahren ein starkes Wachstum, was damit zusammenhängen dürfte, dass viele europäische Firmen auf einen Dienstleister setzen, der sich nicht wie andere Firmen in den USA oder in Russland befindet und darum dem EU-Recht unterliegt. Im Frühling ist es den Eset-Forschern gelungen, die verbreitete Ransomware TeslaCrypt zu knacken – und ein Entschlüsselungsprogramm für die infizierten Daten zu schreiben. Doch es ist ein Katz-und-Maus-Spiel. Auch die Bad Guys perfektionieren ihr Handwerk: Die neusten Schädlinge verwenden für jede Datei einen anderen Schlüssel. So wird das Entschlüsseln quasi verunmöglicht.

Und ihre Tricks werden immer raffinierter: Manchmal geben sie sich zum Beispiel als Polizisten aus. Auf dem Bildschirm erscheint dann eine gefälschte Meldung der Polizei: «Sie haben illegale Seiten besucht, Ihr Computer wurde gesperrt», heisst es darin. Und weiter: Innerhalb einer Stunde liesse sich die Busse gleich per Kreditkarte begleichen, danach würden die Daten allmählich gelöscht – jede Stunde ein paar mehr. «Sie glauben nicht, wie oft die Leute sich einschüchtern lassen», sagt Zwienenberg. Wer auf den Trick hereinfällt, überlässt den Gaunern natürlich nicht nur den geforderten Betrag von vielleicht 100 Franken, sondern auch alle seine Kreditkartendaten.

Doch nicht nur für Privatanwender ist Ransomware ein Problem. Auch Firmen werden immer häufiger auf diese Weise erpresst. Kürzlich ist das einem Schweizer Treuhänder passiert. An einem Montagmorgen waren drei seiner zehn Server komplett verschlüsselt. Keine der Dateien konnte mehr geöffnet werden. Ein Notfall für die IT-Spezialisten von Eset. Trotz aller Anstrengungen konnten die Daten nicht mehr entschlüsselt werden. Das letzte Back-up war mehrere Tage alt. Der Virus hatte mehrere Arbeitstage einer Firma mit über 20 Niederlassungen zunichtegemacht.

Angriff aufs Krankenhaus

Den IT-Experten blieb nichts anderes übrig, als das Back-up aufzuspielen und den Angriff nachzuverfolgen. Es stellte sich heraus, dass ein Mitarbeiter eine Mail mit einer manipulierten Excel-Datei erhalten hatte. Das Perfide am Hack: Die Absenderadresse unterschied sich nur in einem Buchstaben von derjenigen eines Kunden, und auch die Sprache war jener des Kunden angepasst. Als der Mitarbeiter die Datei öffnete und ein Makro startete, war es passiert: Die Malware begann unbemerkt mit der Verschlüsselung.

In Deutschland ist bei einem ähnlichen Angriff ein Krankenhaus vorübergehend lahmgelegt worden. Mehrere Operationen mussten verschoben werden. Es sind solche Attacken auf kritische Infrastrukturen, welche den IT-Sicherheitsexperten besonders besorgen. Und je mehr Maschinen und Gegenstände ans Internet angeschlossen werden, desto akuter wird diese Gefahr.

«Heute werden Computer und Handys mit Ransomware infiziert», sagt Zwienenberg, «morgen werden es Autos sein.» Was für eine Vorstellung: Das Auto öffnet seine Türen nicht mehr, oder die Bremsen sind blockiert – bis das Lösegeld überwiesen ist.