Eben noch die vermeintlich freundliche Bewerbungsmail eines kompetenten Universitäts-Absolventen angeklickt und den angehängten vermeintlichen Lebenslauf geöffnet – Minuten später wird der Computerbildschirm schwarz und ein Text klärt darüber auf, dass der Computer mit Schadsoftware infiziert und alle Dateien verschlüsselt wurden. Wenn nicht schnell ein bestimmter Geldbetrag in Bitcoins bezahlt wird, bleibt der Zugriff auf alle Daten verwehrt. Wie in diesem Beispiel einer gefälschten Bewerbung an eine Rechtsanwaltskanzlei ergeht es vielen Unternehmen, die von einem Trojaner attackiert werden und mit der Verschlüsselung ihrer Daten erpresst werden. Dass nur große Unternehmen im Fokus von Kriminellen stehen, ist ein Irrglaube: Auch kleine und mittlere Unternehmen, vor allem sogenannte „Hidden Champions“, also allgemein wenig bekannte Weltmarktführer, sind vielversprechende Ziele für Angreifer.

Unbemerkt einschleusen

Als Trojaner werden Programme bezeichnet, die gezielt auf Hardware wie Computer oder mobile Endgeräte eingeschleust werden, um dort (teilweise) ferngesteuert schädliche Funktionen auszuführen. Sie sind dabei als regulärer Inhalt, zum Beispiel als PDF-Anhang oder Software-Update, getarnt. Seit einigen Jahren sind vor allem Verschlüsselungstrojaner auf dem Vormarsch: Sind sie erfolgreich eingeschleust worden, übernehmen sie die Kontrolle und verschlüsseln alle oder gezielt besonders wertvolle Datensätze. Gefälschte E-Mails, etwa als Bewerbung oder Rechnung getarnt, sind beliebte Einfallstore. Aber auch manipulierte Websites oder Datenträger wie USB-Sticks, die Kriminelle auf einem Firmenparkplatz vermeintlich verlieren, können Schadsoftware enthalten, die sich ausbreitet, sobald das Trägermedium an einen Rechner angeschlossen ist. Aber auch private USB-Sticks von Mitarbeitern können Schadsoftware übertragen.

Sind die Computer über Netzwerke mit weiteren Rechnern verbunden, breitet sich die Schadsoftware mitunter minutenschnell im ganzen Betrieb aus. Je nachdem, wie schnell der Schädling erkannt wird, entsteht für kleine und mittlere Betriebe dadurch leicht ein Schaden in fünfstelliger Höhe (Kaspersky Lab 2017). Maßgeblich ist vor allem, auf welche Informationen der Trojaner zugreifen und sie verschlüsseln kann. Das betrifft nicht nur Dokumente oder Datenbanken, auch ganze Produktionsnetzwerke können durch eine Verschlüsselung der Steuerungsrechner lahmgelegt werden: Das Schadprogramm WannaCry, das im Frühjahr 2017 Rechner mit Windows-Betriebssystemen mit einer bestimmten Schwachstelle attackierte und Benutzerdateien verschlüsselte, sorgte zum Beispiel dafür, dass beim Automobilhersteller Honda ein Werk einen ganzen Tag geschlossen blieb (Reuters Staff 2017).

Wachsamkeit und Datensicherung

Viele Betriebe erhalten täglich zig Mails mit gefälschten Links und Dateianhängen. Eine Sensibilisierung aller Mitarbeiter für die Gefahren durch Trojaner ist daher unabdingbar. Auch wenn viele schädliche Mails relativ leicht zu erkennen sind, ist dies bei gezielten Angriffen ungleich schwerer. Neben der Schulung der Mitarbeiter sollte auch kritisch geprüft werden, ob alle Rechner eines Betriebs ungehindert miteinander kommunizieren müssen, so dass sich im Ernstfall eine Schadsoftware relativ ungebremst auf allen Rechnern ausbreiten kann. Updates müssen regelmäßig möglichst zeitnah durchgeführt werden, damit bekannt gewordene Sicherheitslücken, wie bei WannaCry, sofort geschlossen werden. Bei industriellen Anlagen kann dies für viele Komponenten eine Freigabe durch den Hersteller voraussetzen. Besonders wichtig ist die zuverlässige und manipulationssichere Datensicherung. Eine Datensicherung über das Netzwerk sollte nicht im laufenden Betrieb erfolgen bzw. Benutzer keine Schreibrechte auf die Netzwerkdatensicherung haben – manche Trojaner sind nämlich genau dafür ausgerichtet und schlagen dann bei der Erstellung des Backups im Netzwerk zu. Eine Alternative ist die Datensicherung auf einem externen Datenträger, so dass im Falle eines Angriffs auf diese Kopie zurückgegriffen werden kann. Doch auch hier können Trojaner versuchen, genau diese USB-Festplatte zu verschlüsseln. Deshalb sollten zwei oder mehr Speichermedien im Wechsel genutzt werden.

Wenn Unternehmen angegriffen werden, sollten sie sofort den eigenen IT-Experten oder einen externen Sachverständigen zu Rate ziehen und den infizierten Rechner vom Netzwerk trennen. Ist die Gefahr eingedämmt, muss das gesamte Betriebssystem neu eingespielt werden und der Vorfall der Polizei gemeldet werden – auch wenn es für den eigenen Betrieb dank Datensicherung glimpflich ausgeht.

Bei dem Text handelt es sich um die überarbeitete Version eines Artikels aus dem Themenheft „IT-Sicherheit und Recht“.