Über Nacht verschlüsselt das Schadprogramm »Satan« wertvolle Daten auf dem Computer von Volker S. Ein unbekannter Erpresser fordert daraufhin Lösegeld. Und ein wahres Drama um die Datenrettung beginnt.
Donnerstag, 14.11.2019, 19:45 Volker S., der in Wahrheit anders heißt, hat lange gearbeitet. Es war viel zu tun an diesem Tag, und die seltsame Meldung auf dem Bildschirm – irgendein exe-Programm will ausgeführt werden – klickt er regelmäßig weg. S. geht in seine Wohnung, die sich im gleichen Gebäude wie das Büro befindet. Im Bayerischen Fernsehen läuft seine Lieblingssendung »quer«, die möchte er nicht verpassen. S. macht sich Abendessen, schaut bis 21 Uhr fern, geht wieder ins Büro. Er erledigt noch ein paar Dinge und fährt dann den PC herunter. Später wird er nachsehen, wann das war: am 14.11.2019 um 22:31 Uhr. »Das ist mein Horrordatum.«
Freitag, 15.11., 07:30 S. schaltet seinen PC an. Der meldet, dass die Verbindung zum Server nicht hergestellt werden kann. »Ich dachte, man muss ihn neu starten.« Er geht einen Stock tiefer, ins Büro, wo der Server steht. Bei der Anmeldung bemerkt er, dass der Server ungewöhnlich aktiv ist: Die Festplatte rattert. Auf dem Desktop sieht er Dateien, die vorher nicht da waren. Eine heißt »# SATAN CRYPTOR #.HTA«.
Freitag, 15.11., 08:00 S. ruft seinen Bruder an: »Stefan, wir haben ein Problem. Ich weiß nicht, was los ist mit diesem Satan-File? Soll ich den Server vom Netz trennen? Oder verschlimmere ich damit das Problem?« Sein Bruder weiß es auch nicht. S. macht erst einmal nichts.
»Mir ist schwarz vor Augen geworden«
Volker S.
Freitag, 15.11., 12:00 Der Server meldet, dass auf Laufwerk C: kein Platz mehr ist. Später wird S. erfahren, dass die Schadsoftware den Fehler verursacht hat, um ihre Spuren zu beseitigen. S. klickt auf »Okay«. Dann öffnet er »# SATAN CRYPTOR #.HTA« und liest: »Achtung! Ihre Dokumente, Fotos, Datenbanken und andere wichtigen Files wurden kryptografisch stark verschlüsselt. Ohne den Schlüssel ist eine Wiederherstellung unmöglich!« »Mir ist schwarz vor Augen geworden«, erinnert sich S. »Das war Schock pur. Ich wusste nicht, was ich tun soll. Ich kam nicht mal auf die Idee, den Systembetreuer anzurufen. Irgendwie habe ich gehofft: Das kriegst du wieder hin.«
Freitag, 15.11., 19:19 S. richtet bei Google ein E-Mail-Konto unter dem fiktiven Namen »Richard Praatz« ein und nimmt Kontakt zum Erpresser auf. Die Adresse, pmsatan@cock.li, stand in der Datei, die Satan hinterlassen hatte.
Freitag, 15.11., 20:22 Der Erpresser antwortet in fehlerhaftem Englisch: »Hallo herr, wir sind bereit, alle Ihre Dateien wiederherzustellen (entschlüsseln) zu Preis von 0,5 Bitcoin.« S. weiß nicht, was ein Bitcoin wert ist. Er weiß gar nichts mehr. Die Erinnerung an die Tage danach verschwimmen. Es gelingt ihm, das Problem zu verdrängen.
Montag, 18.11., 07:32 Nachricht vom Erpresser: »Wollen Sie Ihre Dateien nicht mehr?« Das Problem ist wieder da.
Erste Frage: »Haben Sie ein Back-up?«
Montag, 18.11., 11:00 Stundenlang surft S. im Internet und liest Artikel über Ransomware. Er installiert zur Sicherheit eine kostenlose Antiviren-Software. Er landet bei einem »Incident Response Team«, wo man kostenlos mit Sicherheitsexperten chatten kann. Erste Frage: »Haben Sie ein Back-up?«
Montag, 18.11., 13:30 S. berichtet seinem Bruder von der Erpressung. Der reagiert aufgebracht: »Wir zahlen nichts! Keinesfalls! Du musst die Polizei rufen!« Jetzt schimpft S.: »Einen Teufel werde ich tun!« Er will den Fall geheim halten. »Ich habe keinen Sinn darin gesehen. Nach einem halben Jahr kommt ein Brief von der Polizei, dass das Verfahren eingestellt wurde.« Seine Strategie heißt: Augen zu und durch.
5 Fragen an fabian lochmann (It-berater)
Beim Thema Cybersicherheit hat Fabian Lochmann den Durchblick. In einem kurzen Interview gibt der erfahrene IT-Berater (Computacenter) hilfreiche Tipps – sowohl für Unternehmen als auch Privatpersonen.
Herr Lochmann, in unserer Geschichte wurde ein Kleinunternehmer Opfer einer Cyber-Erpressung. Wie häufig passiert das? Die Dunkelziffer ist extrem hoch. Bei unserer Response-Hotline, die Allianz Kunden rund um die Uhr zur Verfügung steht, gehen mindestens zwei bis drei solcher Ransomware-Fälle pro Woche ein. Da steckt ein richtiges Business dahinter.
Wie hilft Ihr Team? Unser Ziel ist es, die betroffenen Versicherungsnehmer möglichst schnell wieder arbeitsfähig zu machen. Am Telefon geben wir eine erste Hilfestellung. Wenn das nicht reicht, geht der Fall an unsere Security-Spezialisten, die sich per Fernwartung oder auch vor Ort alles genau ansehen. Aber: Eine Versicherung ist reaktiv und hilft erst, wenn es bereits zum Schaden gekommen ist. Wichtig ist, dass jedes Unternehmen vorher seine Hausaufgaben macht.
Die da wären? Back-ups machen. Nicht nur auf dem Rechner selbst, sondern auch auf einer physisch vom Netz getrennten Festplatte. Die Systeme auf dem aktuellen Stand halten. Vernünftige Antivirus-Lösungen nutzen. Und dafür auch mal Geld ausgeben: Wenn ich ein Programm kaufe, kann ich davon ausgehen, dass es geprüft ist. Sicherheit hat ihren Preis.
Können Sie nachvollziehen, dass gerade kleine und mittlere Unternehmen von der Technik überfordert sind? Absolut. IT-Sicherheit darf nicht nebenbei erledigt werden. Ich hatte mal einen Fall, da sollte eine Mitarbeiterin täglich das Band für das Back-up des Servers wechseln. Nachdem es zum Cyber-Angriff gekommen war, stellte sich heraus: Sie hatte zwei Jahre lang ein Reinigungsband ohne Speicherfunktion eingelegt. Die Daten waren weg, die Firma ist in Konkurs gegangen. Mein Rat: Unternehmen sollten Sicherheitsressorts aufbauen oder sich externe Unterstützung holen. Wie Ihr Einzelfall zeigt, sind auch Systembetreuer den heutigen Security-Anforderungen nicht immer gewachsen.
Was können Privatpersonen tun, um ihre Daten zu schützen? Im Prinzip das Gleiche wie Firmen: Back-ups machen, System-Updates installieren, Antivirus-Software nutzen. Man braucht heute viel mehr Medienkompetenz als früher. Jeder sollte wissen, worauf er klicken darf. Bei E-Mail-Absendern kann man auch einfach mal anrufen und fragen: Kommt das wirklich von dir? Wir müssen ein Verständnis für IT-Sicherheit entwickeln und zwar am besten schon in der Schule.
Fabian Lochmann ist Berater bei Computacenter, einem Partner der Allianz, wenn es um IT-Sicherheit geht.
Dienstag, 19.11., 10:00 Im Kopf von S. dreht sich das Gedankenkarussell: Was wird es an Mehrarbeit kosten, die Daten nachzuarbeiten? Am wichtigsten sind die Tabellen mit den Nebenkostenabrechnungen. Familie S. betreibt eine Hausverwaltung. Was, wenn einer der Kunden seine Abrechnung aus dem Vorjahr anzweifelt? Was, wenn die Eltern davon erfahren, wie es um die Firma steht? Sie sind beide herzkrank, sein Vater liegt im Krankenhaus. Angesichts der Probleme erscheinen die 3.500 Euro, die ein halber Bitcoin kostet, als gute Investition. S. trifft die Entscheidung, das Lösegeld privat zu zahlen. Es darf nicht über das Geschäftskonto laufen, S. fürchtet, der Vater könnte es sehen und gravierende Gesundheitsprobleme bekommen.
Ein Stundensatz von 190 Euro
Mittwoch, 20.11., 14:00 Endlich kommt S. ins Handeln. Er ruft seinen Systembetreuer an. Der Anruf ist ihm unangenehm, es fühlt sich an, als müsse er ihm etwas beichten. Doch dann entschuldigt sich der Systembetreuer: Ihm ist peinlich, dass er den Server übersehen hat. An dem Rechner, Baujahr 2005, hängt tatsächlich noch ein Röhrenbildschirm. Eine Maschine wie aus dem Computermuseum. S. schildert den Fall. »Das ist nicht mein Spezialgebiet«, sagt sein Systembetreuer. »Egal, bring alles mit, und komm vorbei.«
Donnerstag, 21.11., 09:30 S. findet die Visitenkarte, die er gesucht hat. Sie stammt von einem Computerforensiker, der in der örtlichen Stadthalle einen Vortrag über Computersicherheit gehalten hat. Die Firma sitzt in Frankfurt, S. ruft an. Ja, man könne helfen. Ja, man habe eine gute Erfolgsquote. Ja, mit Zahlungen in Bitcoin kenne man sich aus. Der Forensiker nennt seinen Stundensatz: 190 Euro.
Donnerstag 21.11., 10:00 S. packt den Rechner und fährt in den Taunus, wo sein Systembetreuer wohnt. Der ist ein alter Freund, und so, wie er das System betreut hat, war es auch nie mehr als ein Freundschaftsdienst. Einem Profi wäre nicht entgangen, dass ein alter Server am Netz hängt.
Donnerstag 21.11., 14:00 Die Arbeit an den Daten beginnt, sie ist so langweilig wie mühsam. »Das sind deine Back-ups?«, fragt sein Systembetreuer fassungslos, als er die antiquierten Magnetbänder sieht. S. kann nur mit den Schultern zucken. »Unter uns Systembetreuern gibt es einen Spruch: keine Back-ups, kein Mitleid.« Der letzte verwertbare Back-up stammt aus dem Jahr 2005. Sie rekonstruieren, dass die Erpressersoftware eine Lücke in »Windows 2003 Server« genutzt hat. 2017 gab Microsoft ein letztes Sicherheitsupdate dafür heraus. Hätte S. es installiert, wäre nichts passiert. Und noch ein Fehler taucht auf: In der FritzBox steht der Port für die Fernwartung offen. So kann die Software von innen eine Tür öffnen und Schadsoftware aus dem Internet nachladen. »Hättest du das Häkchen entfernt, wäre nichts passiert«, sagt sein Systembetreuer. Noch so ein »hätte«.
Freitag 22.11., 10:00 Der Systembetreuer entdeckt, dass die Outlook-Datei der Firma von S. nicht verschlüsselt ist; vermutlich war sie zu groß für die »Satan«-Software. Die E-Mails und Dateianhänge sind noch da. Ein erster Lichtblick. Parallel verhandelt S. mit dem Forensiker in Frankfurt. Er unterschreibt das Angebot, Start frei für die Operation »Satan«.
Samstag, 23.11., 10:00 Der Forensiker macht nichts anderes als das, was S. am Tag nach der Verschlüsselung getan hat: eine Mail an pmsatan@cock.li zu schreiben. »cock.li« ist ein E-Mail-Dienst, über den Hacker unerkannt kommunizieren.
Samstag, 23.11., 20:08 Endlich antwortet der Erpresser und fordert 1 Bitcoin. Kurz darauf meldet er sich erneut: 50 Prozent Rabatt, wenn binnen 24 Stunden gezahlt wird.
Sonntag, 24.11., 15:00 Die Zahlung wird ausgelöst: 0,5 Bitcoin werden auf ein »Wallet« geladen. Wenn man zwei, drei Euro Trinkgeld gibt, erfährt S., bearbeiten die Rechner im Internet seine Zahlung bevorzugt. Aber es ist genug Zeit.
Sonntag, 24.11., 16:00 Der Forensiker sieht, dass die Zahlung beim Erpresser angekommen ist und informiert S.
Sonntag, 24.11., 19:28 Die Kommunikation mit dem Erpresser gerät durcheinander: »Senden Sie eine verschlüsselte Datei mit weniger als 1 MB Größe.« S. hat keinen Beweis, ob der Erpresser liefern kann, hat aber bereits gezahlt.
»Wir haben Antwort vom Erpresser. Er möchte jetzt zwei Bitcoin«
Forensiker
Sonntag, 24.11., 21:33 Hektisch sucht S. nach einer Datei, die keine Rückschlüsse auf seine Identität zulässt. Er findet ein Foto von Autofelgen, die er bei eBay verkaufen wollte.
Sonntag, 24.11., 23:00 S. geht mit seinem Systembetreuer zum Abendessen. Bei Tisch dreht sich das Gespräch ausnahmsweise um etwas anderes. S. geht mit der Hoffnung zu Bett, als Antwort die Entschlüsselungssoftware zu bekommen. Zum ersten Mal seit zehn Tagen kann er wieder einmal schlafen. Ich habe getan, was ich tun konnte, sagt er sich.
Montag, 25.11., 14:00 Der Forensiker ruft an: »Wir haben Antwort vom Erpresser. Er möchte jetzt zwei Bitcoin.« Also weitere 14.000 Euro Lösegeld. Und das ohne Beweis, dass er die Entschlüsselungssoftware besitzt und sie schicken kann oder wird. S. sagt nur: »Mein Limit ist erreicht.«
»Ich habe Waffen, und ich weiß, wo du wohnst!«
Donnerstag, 28.11., 19:00 S. telefoniert mit dem Systembetreuer und äußert ihm gegenüber seine aufkommenden Suizidgedanken. »Du gibst den Schmerz nur weiter, wenn du das machst«, sagt der. »Du wirst alle ratlos hinterlassen.«
Montag, 2.12., 12:30 Der Forensiker schickt seine Rechnung: 14 Arbeitsstunden für Telefonate, Analyse und Überweisung der Bitcoin, plus Abend- und Wochenendzuschläge, plus den verauslagten Bitcoin, plus Steuer: 8.411,26 Euro.
Dienstag, 3.12., 16:00 Unentwegt sucht S. nach einer Strategie. Er könnte den Erpresser erpressen: »Ich habe Waffen, und ich weiß, wo du wohnst!«, fantasiert er. Dann will S. ans Mitleid appellieren, will seinen Vater im Krankenhaus fotografieren und dem Erpresser zeigen, was er angerichtet hat. Er schickt dem Forensiker eine lange E-Mail, in der er alle Optionen abwägt. Stellenweise klingt es, als habe ein Verrückter sie geschrieben. Der Forensiker antwortet nicht.
Donnerstag, 5.12., 16:30 S. launcht ein Kickstarter-Projekt. Er will die Filmrechte an seiner Geschichte verkaufen. Vielleicht bekommt er so die 15.000 Euro zusammen?
Donnerstag, 5.12., 19:00 Bei Facebook postet S. eine Nachricht. Er schreibt, ein Freund habe sein gesamtes digitales Leben verloren und ein Kickstarter-Projekt ins Leben gerufen. Er bittet alle seine Kontakte, es zu unterstützen.
Samstag, 7.12., 18:10 Eine Freundin schreibt ihn an. Sie fragt, ob alles okay sei? Bei Kickstarter kann sie nicht spenden, da sie kein PayPal hat. Sie sagt ihm 20 Euro in bar zu.
Verdacht gegen den Nachbarsjungen
Samstag, 14.12., 16:30 Das Projekt bei Kickstarter endet. Statt der erhofften 15.000 aus der Crowd bringt es genau einen Dollar ein. Den hatte eine Firma investiert, die S. gegen Geld zu mehr Aufmerksamkeit verhelfen wollte.
Freitag, 14.02.2020, 12:00 Valentinstag. Drei Monate sind seit dem Cyberangriff vergangen. S. hat Nächte durchgearbeitet, um das Geschäft auch ohne die Daten am Laufen zu halten. Es vergeht kein Tag, an dem er nicht an die verlorene Zeit denkt. Dann fürchtet er, dass die eigentlichen Probleme noch kommen werden. Die Festplatte liegt derweil im Schrank. S. hofft, dass es irgendwann eine Technik gibt, die sie entschlüsseln kann. Bis heute weiß er nicht, wie sich der Rechner infiziert hat. Weder sein Systembetreuer noch der teure Forensiker konnte es ihm beantworten. In S. schwelt ein Verdacht: Vielleicht hat sich ja der Nachbarsjunge in sein WLAN gehackt? Der Junge mit dem Mountainbike, der neulich so frech war. Was, wenn das der Satan ist?
Text & Fotos Markus Bauer
Anrufen
E-Mail