Vor dem Trojaner Locky kapitulieren selbst Fachleute. „Unknackbar“ nennt ihn der Computer-Forensiker Andreas Bauer (37) aus Bindlach. Locky hat die Computer der Fraunhofer-Projektgruppe Prozess-Innovation an der Universität Bayreuth lahmgelegt. Und nicht nur die.
Locky hat zwar einen niedlichen Namen, aber er ist bitterböse. Das Verschlüsselungsprogramm schlägt zurzeit etwa 5300 Mal in der Stunde zu, bei Firmen, Institutionen und Privatleuten. Seit Mittwoch liegen die Computer der Fraunhofer-Projektgruppe in Bayreuth lahm. Das System eines Unternehmens in der Region sogar schon ein zweites Mal innerhalb weniger Wochen.
Bayernweit gibt es bereits eine Reihe von Anzeigen. Aber die Erfolgsaussichten bewerten die zuständigen Stellen als nicht besonders hoch. Im Fall Fraunhofer Bayreuth hat die Zentralstelle Cybercrime Bayern gemeinsam mit der Kripo Bayreuth „von Amts wegen die Ermittlungen aufgenommen“, bestätigt Matthias Huber, Oberstaatsanwalt der Generalstaatsanwaltschaft in Bamberg. Allerdings tappen die Ermittler im Dunkeln. Bisher haben die Spezialisten den Trojaner noch nicht ausgewertet. Und „müssen sich auf die Erkenntnisse aus der IT-Sicherheitsbranche beschränken“, so Huber.
Wie eine Zeitbombe
Allerdings spreche viel dafür, dass Locky „zeitgesteuert“ ist – und die Initialzündung konzertiert „in den letzten Tagen“ erfolgt sei. Diese Zeitbombe wird die Ermittlungen laut Huber „ungemein erschweren“. Denn es sei äußerst schwierig noch nachzuvollziehen, auf welchem Weg die Schadsoftware eingespeist wurde. Huber: „Da zudem Vorratsdaten nur äußerst kurz und unvollständig gespeichert werden, sinken die Aufklärungschancen mit jedem Tag.“
Wer dahinter stecke? Keine Erkenntnisse. Bei ähnlichen Programmen aber stoßen die Ermittler „grundsätzlich recht häufig auf IP-Adressen im russischen Raum“.
Locky ist ein Schadprogramm, das „sehr stark verschlüsselt“ ist, sagt Computer-Forensiker Andreas Bauer. Die Datei wendet einen Trick an, um „durch alle Sicherheitssysteme“ zu gelangen. Bis auf drei Schutzprogramme gelangt es so in jeden Rechner und jedes System. „Wenn es geöffnet wird, ist es zu spät“, sagt Bauer. Denn gegen eine „256-bit-Verschlüsselung“ ist kein Kraut gewachsen, normale Programme arbeiten nur mit etwa der Hälfte der Verschlüsselungskraft. Herauszufinden, welche Algorithmen hinter Locky liegen, sei eine „hochwissenschaftliche“ Aufgabe. Die Antwort auf die Frage, ob es überhaupt jemals zu knacken ist, sei „sehr spekulativ“. Selbst wenn mehrere Rechenzentren mit Riesencomputern und einer enormen Rechenleistung zusammengeschlossen würden, könnte es „mehrere Jahre“ dauern, bis Locky entschlüsselt ist. „Es ist zu 99,99 Prozent sicher.“ Unlösbar. Die einzige Chance, dem Befall zu entgehen sei, wenn der Trojaner entdeckt wird, bevor er sich ausbreiten kann.
Keine Angebote aus dem Internet kaufen!
Den Angeboten aus dem Internet, sich für etwa 300 Euro ein Entschlüsselungsprogramm zu kaufen, steht Bauer sehr skeptisch gegenüber. „Sehr dubios, ich würde dem nicht vertrauen“, sagt er, dahinter könnte „kriminelle Energie“ stecken. Auch Staatsanwalt Huber rät davon ab, zu bezahlen: „Die Betroffenen müssen wissen, dass sie keinerlei Garantie dafür haben, auf ihre Daten nach Zahlung des Lösegeldes wieder zugreifen zu können.“ Je mehr Betroffene zahlen, desto lukrativer werde das „Geschäftsmodell“ für die organisierten Cyberkriminellen. „Ein aktueller Virenschutz, stets auf dem neusten Stand befindliche Programme und regelmäßige Backups der Daten sind der deutlich effektivere Weg, der Bedrohung durch Cryptolocker zu begegnen“, so Huber.
Inzwischen hat die virtuelle Geiselnahme der Fraunhofer-Projektgruppe in Bayreuth international für Aufsehen gesorgt, auch in Amerika, das eines der am meisten betroffenen Länder ist. Die Täter verbreiten Locky vor allem per Mail. Meist sind es erfundene Rechnungen von tatsächlich existierenden Firmen. Im Anhang befindet sich ein Office-Dokument mit dem Code, der die Infektion auslöst.
Allerdings haben Fachkreise schon einen Schwachpunkt des gefährlichen Virus ausgemacht: Locky nutzt eigene Befehlsserver, bevor es Dateien verschlüsselt. Eine Abwehrstrategie könnte darin liegen, diesen Server abzuschalten, heißt es auf itespresso.de, einer Internetseite, auf die auch das Landeskriminalamt Bayern verweist.
Rolf Steinhilper (62), Chef der betroffenen Fraunhofer-Projektgruppe in Bayreuth, hat zwar noch keine „Erfolgsmeldung, aber wir haben einen klaren Fahrplan.“ Am Montag kann die Arbeit weitergehen. Dann sollen die Dateien der aktuellen Projekte auf einen neuen Computer aufgespielt werden. Steinhilpers Mitarbeiter können sich mit einem Speicherstick die Daten holen können. Strafanzeige will er nach wie vor keine stellen.
Lesen Sie dazu auch:
