Mein Trojaner und ich

Mein Trojaner und ich

Esther Göbel monogram
Verfasst von
am

Diese Geschichte hat mit mir zu tun und beginnt doch weit weg. Irgendwo im Netz, im Verborgenen, dort, wo das Verbrechen sitzt. Es ist eine Geschichte, die alles enthält, was ein Drama braucht: Geld, Verzweiflung, Macht, Berechnung – und die so viele dunkle Stellen und weiße Flecken zählt, dass sie mehr ein Rätsel darstellt als Gewissheiten spendet. Es ist auch die Erzählung eines ohnmächtigen Tappens im Dunkeln, in einer anderen Welt, die aus Buchstaben besteht, die sich zu keiner schlüssigen Aussage formen. Zumindest nicht für mich. AES und RSA, so heißen einige ihrer Hieroglyphen. Und die tun genau das, wofür sie gemacht wurden: verschlüsseln, verschleiern, zerstören.

Aber zurück: Was war passiert?

Eigentlich nichts. Zumindest nichts, was ich bemerkt hätte. Das Drama kam lautlos, es kündigte sich nicht an.

Ich saß an meinem Computer, Dienstag, 23. Februar. Ich hatte einen Termin, war spät dran, also speicherte ich mein aktuelles Arbeitsdokument auf dem Desktop. Da fiel mir das Foto ins Auge, das dort ebenfalls abgelegt war: Meine Freunde aus Stockholm und ich beim Schlittschuhlaufen; viel Gesicht, viel blauer Himmel, viel Lachen. Das Foto war ganz neu, ich hatte es erst bei meinem letzten Besuch im Januar geschossen. Ich klickte es an, wollte mich für einen kurzen Moment in jenes Wochenende zurückversetzen – doch statt des Fotos öffnete sich eine mp3-Datei ohne Ton. Ich verstand nicht, schloss die Datei wieder, öffnete sie erneut – wieder zeigte mir mein Laptop eine stille mp3-Datei an. Irritiert hielt ich inne, schob mich in meinen Schreibtischstuhl ein Stück von meinem Laptop zurück, da bemerkte ich, dass mein Desktop nur noch mp3-Dateien anzeigte. Überall. Dabei hatte ich dort nur Word-Dateien abgelegt.

Ich begann, wahllos einen anderen Textordner zu öffnen: meine digitale Mappe mit Arbeitsproben. Auch dort: kein einziges Word-Dokument. Stattdessen hatten die Dateien sich wie durch Zauberhand umbenannt in .doc.mp3. Einige enthielten kryptische Endungen wie Recovery+xxcki oder Recovery+xxcki. Ich öffnete meinen Foto-Ordner: Hier waren die Bilder zwar noch im jpg-Format gespeichert – doch wenn ich sie anklickte, öffnete sich wieder nur ein mp3-File.

Das war der Moment, in dem ich panisch wurde. Die Angst kroch schneller in mir hoch, als ich sondieren konnte, was gerade vor sich ging. Ich verharrte noch in Schockstarre, da blinkte auf meinem Laptop ein Fenster auf, weiße Schrift auf schwarzem Hintergrund:

What happened to your files?", las ich mit weit aufgerissenen Augen, „all your files were protected by a strong encryption with RSA-4096. More information about the encryption keys using RSA-4096 can be found here: http://en.wikipedia.org/wiki/RSA(cryptosystem)_

Ich nahm mir gar nicht erst die Zeit, den Wikipedia-Link zu öffnen, denn langsam schwante mir, dass hier eine Katastrophe im Anmarsch war. Hastig überflog ich den weiteren Text:

!!! ALL YOUR FILES were encrypted with the public key, which has been transferred to your computer via the Internet.

!!! Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our Secret Server.

Ich las weiter, verstand noch immer nichts, denn ich habe von Computern in etwa so viel Ahnung wie von der Funktionsweise eines Plasmareaktors – ich bin froh, wenn ich es schaffe, einen Text auszudrucken, ohne dass der Drucker murkst. Jetzt aber las ich von Bitcoins, Wallet, Tor-Browser, verschlüsselten Daten, einem privaten Schlüssel. Mir wurde heiß, ich schwitzte, meine Gedanken rasten. Konnte das hier ein übler Scherz sein? Was war mit meinen Daten geschehen? Ich konnte auf keine einzige Datei mehr zugreifen. All meine Fotos, meine Musik, zig Texte und Arbeitsproben – alles verschlüsselt. Wann hatte ich eigentlich das letzte Backup gemacht, schoss es mir durch den Kopf? Wann zuletzt einen Virenscan über meinen Laptop laufen lassen?

Ich wurde von meinem eigenen Computer erpresst

Ich fühlte mich nackt und hilflos. Weil ich nichts von dem verstand, was mein Computer mir zu sagen versuchte. Aber auch, weil in den Daten, auf die ich nun nicht mehr zugreifen konnte, mein ganzes Ich steckte: Fotos von mir und meiner ersten großen Liebe in dem einzigen Sommer, den wir teilten. Zahlreiche Mix-CDs von Freunden, die ich zu Geburtstagen, an Weihnachten oder im Urlaub gehört hatte und die mein persönlicher Soundtrack zu großen Gefühlen gewesen waren. Meine erste große Auslandsreportage auf Island. Dazu Rechnungen, Steuerunterlagen, Zeugnisse, Textskizzen, Arbeitsproben. Also kurz: mein ganzes kleines Leben.

Zu dem Gefühl des Nacktseins paarte sich Ohnmacht. Was sollte ich jetzt tun?

Meine Hände zitterten, als ich die Nummer eines Kumpels wählte. Er ist Informatiker, kennt sich gut mit Kryptographie aus, also mit der Verschlüsselung von Daten. Ich schilderte ihm kurz und hastig, was geschehen war. Er schwieg; es musste schlimmer sein, als ich angenommen hatte. Ich fragte ihn, wieso er nicht antwortete und bemerkte noch während ich sprach, wie meine Stimme langsam ins Hysterische kippte. „Ich komme nachher bei dir vorbei!", sagte mein Kumpel. Seine Stimme klang ernst, so wie in einem Film, wenn die Polizei eine Todesnachricht überbringt.

Ich setzte mich zurück vor meinen Computer. Ratlos. Das Paradoxe war: Ich konnte zwar nicht mehr auf meine Dateien zugreifen – sonst aber funktionierte alles. Also googelte ich: RSA-4096, Verschlüsselung, Bitcoins. Und langsam begriff ich: Ich hatte mir einen Verschlüsselungs-Trojaner eingefangen, eine sogenannte Ransomware, zu der etwa Locky oder TeslaCrypt zählen. Der Begriff ist ein Kofferwort, das sich aus dem Englischen software und ransom (Lösegeld) ableitet. Der Name sagt schon alles: Der Trojaner wollte Geld von mir erpressen.

Auf meinen Computer gelangt war der digitale Angreifer wohl über einen gefälschten Anhang in einer E-Mail, auch wenn ich mich nicht daran erinnern konnte, ein verdächtiges Dokument oder eine zip-Datei geöffnet zu haben. Andererseits: Ich schreibe jeden Tag so viele Mails, versende und öffne Texte, dass ich es vielleicht einfach nicht bemerkt hatte. Der Trojaner jedenfalls hatte sich tief in mein System gehackt – und dann mit einem Schlag alle meine Daten verschlüsselt. Lediglich ein einziges (unwichtiges) Word-Dokument mit abgearbeiteten Ideen war in seiner Ursprungsform geblieben. Zurückerlangen konnte ich die restlichen Daten nur, indem ich innerhalb von fünf Tagen ein Lösegeld via Torbrowser überwies, 1,2 Bitcoins, umgerechnet je nach Tageskurs etwa 400 Euro. So wollten es die Hintermänner. Dann, so versicherte mir jener Erpresserbrief, der auf meinem Laptop aufgetaucht war, würde man mir einen Schlüssel zukommen lassen, einen Code, der meine Dateien wieder freigeben würde.

Ich überlegte kurz, ob es angebracht sei, sich genau jetzt schreiend auf den Boden zu legen.

Die Dunkelziffer der Betroffenen geht ins Unendliche

Immerhin war ich nicht die einzige Betroffene. Diese Einsicht schmälerte zwar nicht mein Gefühl von Ohnmacht. Aber immerhin den Gedanken des Alleinseins. Im Dezember des vergangenen Jahres hatte sich eine Ransomware in das Computernetzwerk des NRW-Innenministeriums eingeschlichen, zeitgleich schlug ein Trojaner beim Landschaftsverband Rheinland zu. Die Verwaltungsbehörde der fränkischen Stadt Dettelbach war betroffen, im Januar dieses Jahres gleich zwei Krankenhäuser in Nordrhein-Westfalen, auch in den USA hatte es ein großes Krankenhaus getroffen. Dazu ungezählte private Rechner, deren Besitzer so wie ich keine Ahnung hatten, was sie nun tun sollten.

Offenbar schwappt gerade eine Welle über Deutschlands Computer hinweg. Beim Landeskriminalamt in Berlin sind aktuell zwar nur zwanzig Anzeigen eingegangen, überwiegend stammen sie von Unternehmen. „Aber wir gehen von einer riesigen Dunkelziffer aus, die wahrscheinlich grenzenlos ist„, sagt Carsten Szymanski, Dezernatsleiter des LKA24 Cybercrime in Berlin. Allein in Deutschland sind Millionen Nutzer betroffen. Seit einigen Wochen ermittelt Szymanskis Abteilung in Abstimmung mit den anderen Bundesländern, „die Trojaner ändern schnell ihr Gesicht, aber die Vorgehensweise ist ähnlich“, sagt er. Immer geht es darum, Geld von den Opfern zu erpressen. Hauptsächlich ist Ransom-Ware ein Problem von Windows-Nutzern, doch mittlerweile gibt es die ersten Opfer unter Linux- und Apple-Rechnern; auf ihnen schleichen sich Erpressungs-Trojaner namens Linux.Encoder.1 oder KeRanger ein.

Neu ist das Phänomen nicht. „Mit Ransomware beschäftigen wir uns schon seit einigen Jahren“, sagt Ermittler Szymanski. Nach Einschätzung des Bundeskriminalamtes (BKA) hat sie sich weiter ausgebreitet: Allein für das Jahr 2013 registrierte das BKA 6.754 Fälle von digitaler Erpressung. Eine Studie der Firma Dell aus dem selben Jahr kommt zu dem Schluss, dass allein die Ransomware-Version Cryptolocker bis zu 30 Millionen US-Dollar eingespielt haben könnte.

Ich stand nun vor der Frage: zahlen oder nicht? Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dringend davon ab, das geforderte Lösegeld zu überweisen. Das FBI hingegen sagt, man solle der Forderung der Erpresser einfach nachgeben. Auch wenn es keine Garantie gebe, wirklich einen Schlüssel zu bekommen. Doch selbst, wenn die kriminellen Ransomware-Architekten tatsächlich einen Code herausrücken: Das Entschlüsseln ist aufwendig und kostet Zeit. Jede einzelne Datei muss bearbeitet werden. Die Ransomware stiehlt den Betroffenen also nicht nur die Daten selbst. Sondern auch noch Zeit.

Das Lukaskrankenhaus in Neuss etwa, das am 10. Februar Opfer der Malware wurde, arbeitet auch vier Wochen später noch immer daran, das Problem zu beheben. Insgesamt 120 Server und knapp 650 PCs müssen einzeln überprüft werden, „der verursachte Schaden geht bis in einen hohen sechsstelligen, vielleicht auch siebenstelligen Bereich“, sagt Pressesprecherin Ulla Dahmen. Der Trojaner hatte zeitweise das komplette System des Krankenhauses lahmgelegt. Das Labor konnte nicht arbeiten, die digitalen Krankenakten waren nicht mehr verfügbar, Operationen mussten verschoben werden. Der interne Mailserver läuft erst seit einer Woche wieder. Trotzdem hatte das Krankenhaus Glück im Unglück: In der Nacht vor dem Angriff hatte das System zuletzt ein Daten-Backup erstellt.

Bei mir lag der Fall anders: Ich hatte kein Backup jüngeren Datums. Aber ich wollte meine Fotos, Texte und Songs zurück. Der Gedanke, meine Daten womöglich für immer verloren zu haben, fühlte sich an, als hätte man mir einen Arm abgehackt. Aber 400 Euro überweisen? An eine fiktive Adresse im Dark Web, ohne Garantie, dass ich danach auch wirklich einen Code zum Entschlüsseln bekommen würde? Den Erpressern nachgeben, einfach so?

Wie viel ist das digitale Ich wert, fragte ich mich? Wie viel darf es kosten?

Ich verfluchte mich selbst, weil ich keine regelmäßigen Backups gemacht hatte. Es ist diese Faulheit, mit der die Erpresser hinter der Ransomware pokern. Sie müssen gute Menschenkenner sein. Wissen, wie sehr wir alle an Erinnerungen hängen, an digitalen Belegen, die flüchtige Momente des Glücks in Fotos, Songs oder Texte gießen. Sie wissen auch, wie nachlässig das Gros der Nutzer mit seinen Daten umgeht. Und sie haben die Bedeutung von Daten-Traffic längst erkannt. „Die durch Ransomware verursachten IT-Sicherheitsvorfälle der letzten Wochen zeigen, wie abhängig unsere Gesellschaft von Informationstechnologie ist und welche Auswirkungen ein Cyber-Angriff auf die Verfügbarkeit kritischer Infrastrukturen haben kann“, warnte deswegen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), in einer Pressemitteilung Anfang März.

Das BSI setzt deswegen auf Prävention: Daten regelmäßig auf einer externen Festplatte sichern (manche Versionen der gängigen Ransomware infizieren auch verschlüsselte Daten in der Cloud), Software-Updates machen, auf keinen Fall verdächtige E-Mail-Anhänge öffnen; im Zweifel vorher erst den Absender kontaktieren und nachfragen.

Was war die richtige Entscheidung? Bezahlen oder Loslassen?

Für mich kamen all diese Tipps zu spät. Ich richtete meine Hoffnung auf meinen Kumpel. Wenn einer weiterhelfen konnte, dann er. Angespannt saß ich neben ihm und knetete meine Hände, als er schließlich mit dem Blick eines Katastrophenmanagers das Unheil auf meinem Laptop inspizierte. Er sprach lange kein Wort, atmete tief ein, dann wieder aus, seufzte. „Du hast Dir die Version TeslaCrypt3 eingefangen“, sagte er, „da ist nichts zu machen, tut mir leid.“ Er schwieg kurz, überlegte. „Entweder du besorgst dir Bitcoins und bezahlst – oder du übst dich im Loslassen.“

Tatsächlich ist der aktuellen Ransomware wie Locky oder TeslaCrypt bis jetzt nicht beizukommen. „Wenn die Kriminellen bei der Verschlüsselung keine Fehler gemacht haben, gibt es keine Rechenpower, die das knacken kann“, sagt Dennis Schirrmacher, Redakteur beim Computerfachmagazin c't. Ab und zu passiere es aber, dass sich bei der kryptografischen Umsetzung Fehler einschleichen. Die könne jemand mit sehr viel Know-how dann vielleicht ausnutzen und ein Entschlüsselungs-Tool entwickeln. Ansonsten aber „kann man sich Millionen Jahre daran kaputt rechnen“, so Schirrmacher.

Dabei sind Erpressungs-Trojaner noch nicht einmal besonders schwer zu basteln – mittlerweile kann im Grunde jeder, der will, sie auf im Tor-Netz versteckten Malware-Marktplätzen kaufen. Als „all-in-one-Paket“. Der Command-and-Control-Server (C&C), über den der Trojaner kommuniziert, ist für etwa 450 Euro inklusive, genauso wie eine 50:50-Gewinnbeteiligung: Bei erfolgreicher Überweisung der erpressten Summe behält der Programmierer des Trojaners die eine Hälfte, der Käufer, der die Verschlüsselungs-Software gestreut hat, bekommt die andere. Ein sicheres Geschäftsmodell. Denn das Tor-Netz und Bitcoin verschleiern die illegalen Deals so gut, dass eine Rückverfolgung nahezu unmöglich ist. „Die Chancen, die Strippenzieher zu finden, gehen quasi gegen null“, sagt Schirrmacher.

Ich war also in einer Zwickmühle. Entweder meine Daten blieben verschlossen – oder ich kooperierte mit den Erpressern.

Bevor ich mich entschied, wollte ich zumindest so viel von meinem Feind wissen wie möglich war. Mein Kumpel installierte also wie von den Erpressern gefordert einen Tor-Browser auf meinem Laptop, den Eingang zum Deep Web. Unter der Adresse
xlowfznrg4wf7dli.ONION/11A7E813CD55F14A öffnete sich meine „persönliche Seite“, wie die Kriminellen es in ihrem Erpresserbrief frech mitgeteilt hatten. Über diese Adresse sollte die Transaktion der Bitcoins ablaufen. Dort fand sich auch eine genaue Anleitung zu dem weiteren Bezahlungs-Prozedere, Schritt für Schritt – in einem Nachrichtenkästchen konnte ich sogar Kontakt mit den Erpressern aufnehmen, falls sich Probleme bei der Überweisung der Bitcoins ergeben würden. Es war der Gipfel der Dreistigkeit.

Auf dem Bildschirm zeigte eine digitale Stoppuhr die verbleibende Zeit an, also die Deadline, die die Erpresser mir gesetzt hatten. Noch 118 Stunden und 54 Minuten. Danach würde sich der Preis für meine Daten verdoppeln.

Nachdem ich meinen Kumpel verabschiedet hatte, blieb ich deprimiert zurück. Ich überlegte lange und schlief schlecht in jener Nacht. Welche Entscheidung war die richtigere? Bezahlen oder loslassen? Zudem überkam mich eine maßlose Wut über die Hintermänner, die genau jetzt seelenruhig irgendwo in irgendeinem Kabuff saßen und reich wurden, während in meinem Kopf die Deadline tickte.

Mit diesen Zweifeln bewegte ich mich auch die folgenden Tage durch die Welt. Am Ende entschied ich mich dagegen, das Erpressergeld zu zahlen. Weil ich nicht nachgeben wollte. Mein Trotz hatte sich eingeschaltet. Und der Wille, wenigstens mein Gefühl der Mündigkeit zu behalten, wenn schon meine Daten verloren waren.

Die liegen weiterhin verschlüsselt auf meiner Festplatte. Ich bekomme eine neue, mein Computer wird von all seiner Software bereinigt und anschließend neu installiert. Ich werde warten. Darauf, dass in den kommenden Monaten vielleicht doch jemand einen Weg findet, die TeslaCrypt3-Version zu knacken.

Die Bestätigung, dass dies die richtige Entscheidung gewesen war, folgte etwa eine Stunde vor Ablauf der Fünf-Tage-Deadline. Als wollten die Erpresser noch einmal ihre Macht mir gegenüber demonstrieren und mich dadurch doch noch zur Zahlung drängen, schlug der Trojaner, noch immer im Systems meines Computers sitzend, erneut zu: Er verschlüsselte nun doch noch das einzige Dokument, das bei dem ersten Angriff verschont geblieben war.

Empören konnte dieser Vorgang mich nicht mehr, fast schon war ich belustigt.
Die Erpresser hatten meine Daten geraubt. Aber nicht meinen Willen geknackt.


Illustration: Sibylle Jazra für Krautreporter


Wer mehr über Ransomware und ihre Bekämpfung wissen will, bekommt hier weitere Informationen: