Österreich: Deutliche Zunahme von Ransomware-Fällen

3. April 2017, 16:01
posten

Anzahl der monatlichen Fälle seit 2017 um mehr als ein Drittel gestiegen

Der Fall eines 19-jährigen Österreichers, der einen Erpressungstrojaner in Umlauf gebracht hat, hat vor kurzem für Aufmerksamkeit gesorgt. Der junge Mann hatte sich die Schadsoftware im Darknet gekauft und per E-Mail verbreitet. Bei einem oberösterreichischen Unternehmen verschlüsselte die Ransomware wichtige Firmendaten. Ein Backup war vorhanden, dennoch entstand ein Schaden von 3.000 Euro. Die Firma erstattete Anzeige und nach monatelangen Ermittlungen wurde die "Sonderkommission Clavis" schließlich fündig.

Die Soko Clavis gehört zum Cybercrime Competence Center des Bundeskriminalamts (BKA) und wurde Anfang Juni 2016 ins Leben gerufen, um dem wachsenden Problem mit Erpressersoftware zu begegnen. Das Team bearbeitet ausschließlich diese Fälle, und die Tendenz ist steigend. Zwischen Juni und Dezember 2016 weist man 446 erfasste Meldungen aus, zwischen Jänner und dem 30. März 2017 bereits 259, heißt es gegenüber eine Anfrage des STANDARD. Im Monatsmittel bedeutet dies eine Steigerung um mehr als ein Drittel. Beim aktuellen Schnitt würden heuer über tausend Ransomware-Fälle dokumentiert.

Vor allem KMUs erstatten Anzeige

Die Dunkelziffer schätzt man beim BKA auf 90 bis 95 Prozent. Zu den nicht gemeldeten Fällen zählt man allerdings auch ignorierte oder gelöschte Mails mit Ransomware im Anhang. Infektionen anzeigen würden vor allem kleine und mittelständische Unternehmen. Sie haben in der Regel keine eigene IT-Abteilung, sind aber gleichzeitig stark auf die Daten auf ihren PCs angewiesen. Aus diesem Grund werden die von den Hintermännern geforderten Beträge oft bezahlt, um den Betrieb am Laufen halten zu können.

Private Opfer hingegen verzichten meist auf eine Anzeige und setzen ihre Rechner neu auf, da die darauf gespeicherten Daten oft "nicht so wichtig" seien. Große Firmen wiederum verfügen üblicherweise über ein IT-Department, das entsprechende Vorkehrungen gegenüber solchen Gefahren trifft.

Schwierige Ermittlungen

Langt eine Meldung bei der Soko Clavis ein, so versucht man dort, sowohl offline als auch online der Spur der Täter zu folgen. Eine nähere Beschreibung der Ermittlungsschritte wollte das BKA nicht liefern. Man arbeite jedenfalls mit Polizeibehörden auf der ganzen Welt zusammen, insbesondere mit Europol und Interpol.

Mehrere Aspekte erschweren die Suche nach den Tätern und ihre strafrechtliche Verfolgung. So agieren die Hintermänner üblicherweise über das Darknet. Das Lösegeld für die verschlüsselten Daten wird meist in Form der Kryptowährung Bitcoin gefordert, deren System die Identifizierung von Geldempfängern stark erschwert. Andererseits stecken hinter Erpressungstrojanern oft mehrere Täter in verschiedenen Ländern. "Sehr oft" stünden die Ermittler dabei vor dem Problem, dass die Behörden einzelner Staaten nicht ausreichend kooperieren würden.

Kostenlose Entschlüsselungstools verfügbar

Betroffenen rät man, Anzeige zu erstatten. Ein größerer Pool an Beweismitteln und Spuren erleichtert den Ermittlern die Arbeit an zukünftigen Fällen. Benötigt man dringend Zugriff auf durch einen Erpressungstrojaner verschlüsselte Daten, so sollte man zuerst prüfen, ob es für den jeweiligen Schädling nicht bereits Entschlüsselungstools gibt.

Mehrere Behörden, darunter auch das BKA, bieten entsprechende Hilfsmittel und auch Präventionshinweise auf der Website NoMoreRansom.org an. (gpi, 03.04.2017)

  • Ransomware verschlüsselt Daten auf den PCs der Opfer und verlangt für die Freigabe Lösegeld.
    foto: reuters

    Ransomware verschlüsselt Daten auf den PCs der Opfer und verlangt für die Freigabe Lösegeld.

Share if you care.