Sie gelten als das "perfekte Cyberverbrechen" und werden unter Kriminellen immer populärer: Programme, die in Rechner eindringen, dort alle Daten verschlüsseln und diese so zur Geisel machen. Selbst versierten IT-Experten ist es in den meisten Fällen nicht möglich, die Verschlüsselung zu knacken, um die Daten zu befreien. Auch wenn Strafverfolgungsbehörden weltweit Betroffene urgieren, kein Lösegeld zu bezahlen, sehen viele keine andere Lösung, als die geforderten Summen von meist 250 bis 1.000 Dollar zu überweisen. Zu kostspielig wäre es, alle privaten Fotos, Dokumente, Videos und andere Daten zu verlieren.

Countdown startet

Die Betrüger verlangen dabei von den Opfern, die Überweisung durch die Nutzung der Cryptowährung Bitcoin zu verschleiern. Oft starten sie einen Countdown mit mehreren Durchgängen: Nach 72 Stunden erhöht sich das Lösegeld von 500 auf 1.000 Dollar, dann wird der Schlüssel gelöscht. Manche "BitCoin Cafes", die mit Automaten Echtgeld in Bitcoin wechseln, finanzieren sich schon großteils über einmalige Kunden, die wegen Erpressungssoftware zu ihnen kommen.

Cyberkriminelle sind verständnisvoll

"Wir sind in der furchtbaren Rolle der Opferberater, versuchen weinende Großmütter zu trösten, die ihre privaten Fotos verlieren und diskutieren mit Geschäftsleuten, deren Existenz auf dem Spiel steht", erzählte etwa ein Bitcoin-Cafebesitzer einer New York Times-Reporterin, deren eigene Mutter Opfer einer Ransomware-Attacke wurde. Die Journalistin konnte die Daten ihrer Mutter schließlich retten, obwohl der Countdown bereits abgelaufen war. Denn die Cyberkriminellen zeigten Verständnis für Verzögerungen – ein perfider Schachzug, um einen "guten Ruf" zu ergattern.

Reputation behalten

"Sie wollen, dass sich herumspricht, wenn sie 'vertrauenswürdig' agiert haben und ihre Versprechen halten", erklärt IT-Sicherheitsexperte Chester Wisniewski in der New York Times. Ansonsten würden Erpressungsopfer ihre Daten vielleicht von vornherein als verloren ansehen. Manche Kriminelle agieren auch nach einem Stufenmodell, schalten etwa nach der Überweisung eines bestimmten Betrags gewisse Teile frei, um ihren "guten Willen" zu beweisen. Ihre "Reputation" hilft ihnen, in einem entstehenden Millionenmarkt mitzunaschen: Allein die Firma "Dell Secure Works" registrierte zwischen vergangenem März und August 625.000 Infektionen mit Ransomware.

Einfach durchzuführen

Solche Attacken sind laut "Technology Review" um einiges einfacher durchzuführen als Kreditkartenbetrug oder der Diebstahl anderer Finanzdaten. Zwar gibt es Ransomware schon seit Jahrzehnten, eine massive Bedrohung schaffte aber erst die Anwendung "Cryptolocker", die Ende 2013 auftauchte und Betreibern insgesamt drei Millionen Dollar einbrachte. Im Juni 2014 schnappten das FBI und britische Strafbehörden die Cryptolocker-Entwickler, durch beschlagnahmter Geräte konnten Entwickler eine Website entwickeln, mit deren Hilfe Betroffene ihre Daten freischalten konnten.

Nahezu unmöglich, selbst zu entschlüsseln

Ohne den entsprechenden Schlüssel ist es nahezu unmöglich, Ransomware loszuwerden – wenn man nicht gerade die NSA an seiner Seite hat. Denn es ist ja der Sinn von Verschlüsselung, Inhalte für Fremde unzugänglich zu machen. Ein Freiheitsgedanke, der durch Kriminelle pervertiert wird. So zahlte sogar eine lokale US-Polizeibehörde, von der 72.000 Autopsie-Berichte, Zeugenaussagen und andere Dokumente als Geisel gehalten wurden. Als nächste große Zielgruppe sollen die Cybergangster dabei laut Technology Review Mobiltelefone ausgemacht haben.

Backups, Backups, Backups

Erste Cryptolocker für Android sind bereits aufgetaucht. Ein logischer Schritt: Auf Mobiltelefonen werden noch intimere und für manche wichtigere Informationen als auf Rechnern gespeichert. Das mögen private Bilder (vielleicht sogar Nacktfotos); Chatverläufe oder die Kontaktliste sein. Nutzer von Mobiltelefonen sollen deshalb besonders vorsichtig sein, wenn sie im Netz unterwegs sind. Ansonsten raten Sicherheitsexperten das, was ohnehin seit Jahrzehnten von Nutzern gefordert wird: Erstellt Backups, Backups und noch mehr Backups. (fsc, derStandard.at, 18.2.2015)