München - IT-Experten nennen ihn den "König der Schadsoftware" - Emotet, der bereits seit 2018 aktiv ist, aber inzwischen immer häufiger Verbreitung findet.
In seinem Zerstörungswerk geht er mehrstufig vor. Zunächst wird Kontakt aufgenommen und das Outlook ausgelesen. Mittlerweile ist es möglich, nicht nur E-Mail-Adressen zu enttarnen, sondern auch Inhalte zu lesen und anschließend eine authentische Spam-Mail an die Kontakte zu versenden - mit Namen, Betreff und einem glaubwürdigen Inhalt, so dass die Adressaten mit hoher Wahrscheinlichkeit antworten oder ein angehängtes Dokument öffnen. Emotet hat dabei eine höhere Trefferquote als alle seine Vorgänger.
Im nächsten Schritt wird die Schadsoftware dann hochgeladen und ins Netz eingeschleust. Dann schaut sich der Trojaner um, welchen konkreten Schaden er anrichten kann. Frühere Hacker haben ihre Trojaner noch weit gestreut, mittlerweile schauen sie sich um, was genau für welche Einrichtung passt.
Bei Kommunen sollen vor allem die alltäglichen Verwaltungsvorgänge blockiert werden. Es lassen sich dann etwa keine Kfz mehr zulassen, die Finanzverwaltung arbeitet nicht mehr, Bauanträge werden nicht erledigt. Wenn der Trojaner in einem so großen Radius wirkt, dann kann es auch rasch zu Versorgungsengpässen führen. Die IT müsste umfassend neu aufgesetzt werden, was Monate dauern kann. Das wissen die Hacker nur allzu gut und stellen hohe Lösegeldforderungen.
"Doch dem darf man nicht nachgeben", mahnt auch Uwe Brandl (CSU), Präsident des Bayerischen Gemeindetags. "Es muss klar sein, dass kommunale Verwaltungen nicht erpressbar sind. Sonst werden Kriminellen Anreize geboten, ihre Handlungen fortzusetzen. " Zudem zeige sich in vielen Fällen, dass Geschädigte ihre Zahlungen umsonst leisten: Die Daten blieben weiterhin verschlüsselt und die Täter setzten ihre Straftaten ungehindert fort.
Daniel Kleffel, Präsident des Bayerischen Landesamts für Sicherheit in der Informationstechnik (LSI), verweist auf das Virus German Viper, das Ende des vergangenen Jahres kursierte. "Das hat so getan, als ob es die Daten verschlüsselt - hat sie aber tatsächlich gelöscht. " Wer dann in gutem Glauben zahle, stehe anschließend trotzdem betrogen da, so Kleffel.
Wie viele und welche Kommunen betroffen sind, darüber schweigen sich die Sicherheitsbehörden aus. Auch den Gemeinden selbst ist Öffentlichkeit in diesem Zusammenhang unangenehm. Bekannt wurde 2016 der Fall der Stadt Dettelbach im Landkreis Kitzingen. Die Zahlung, über welche Bürgermeisterin Christine Konrad (FW) keine Angaben macht, hatte Erfolg. Im Internet sind Berichte zu finden, wonach 490 Euro gezahlt worden seien sollen. Die Schadsoftware hatte die rund 7300 Einwohner zählende Kommune doppelt getroffen: Durch den Angriff auf den Server der Stadt waren sowohl Daten der Verwaltung - vor allem des Einwohnermeldeamts - als auch der Stadtwerke teils verloren gegangen.
Doch was können Kommunen präventiv tun? Die Antwort klingt so simpel wie der Ratschlag "Hände waschen" beim Schutz vor dem neuen Coronavirus: "Die Netzwerke vernünftig schützen", rät das LSI. "Das ist aber eine Daueraufgabe. Es gibt nicht die einmalige Maßnahme und die hält dann bis zum Tag X. " Man stehe wohl auch erst am Anfang, was die Qualität und Quantität von IT-Attacken auf Behörden betrifft. Das alles werde in den nächsten Jahren weiter zunehmen. Das Schlüsselwort lautet: Informationssicherheitsmanagementsystem, so Uwe Brandl. Es müsse in jeder Verwaltung einen Mitarbeiter geben, der dauerhaft mit dieser Aufgabe betraut ist, sagt der Verbandschef.
Ganz wichtig: Regelmäßig Backups machen und die Daten auf eine externe Festplatte kopieren. Und diese Festplatte an einem sicheren Ort verwahren, so das LSI. Außerdem sollte regelmäßig geübt werden, wie man nach einem versuchten Angriff die geschützten Daten neu einspielt. Ebenfalls gibt es die Allianz für Cybersicherheit, in der sich mehrere Bitcom-Verbände und Kommunen zusammengeschlossen haben. Europol hat über dies die Website nomoreransom. org angelegt, auf der Programme zur Entschlüsselung bereitstehen und außerdem kontinuierlich weiterentwickelt werden.
Langfristig ruht die Hoffnung der Sicherheitsexperten auch auf der Entwicklung von sogenannten Quantencomputern. Die sollen die Rechenleistung beim Entschlüsseln von Schadsoftware - die derzeit theoretisch noch Jahre dauern kann - in wenigen Stunden bewältigen können. Aber das ist noch Zukunftsmusik.
DK
Andre Paul
