Computerkriminalität kann jeden Bereich des ganz gewöhnlichen, fränkischen Alltags lahmlegen - eine Erfahrung, die in den vergangenen Wochen Tausende Arbeitnehmer machten: Mitarbeiter eines Würzburger Einkaufsmarktes, einer Gas-Wasser-Installationsfirma, die Frisörinnen eines Salons aus dem Raum Kitzingen und beispielsweise auch die Bäcker eines Betriebs aus dem Raum Bamberg - sie alle mussten zusehen, wie ihre Bildschirme einfroren. Dann poppte ein Fenster auf: "Sie wurden Opfer der Chimera Malware", erfuhren die Mitarbeiter aus dem digitalen Erpresserschreiben. Und dass die Computersysteme so lange blockiert bleiben, bis das Lösegeld bezahlt wird. Außerdem droht Chimera, dass alle Daten des Unternehmens veröffentlicht werden.

Bei der Polizei bearbeiten IT-Spezialisten die Chimera-Fälle. Der Bamberger Kriminaloberkommissar Benedikt Schneider ist einer von ihnen. Er erklärt, was das Neue an dem Programm ist: "Früher wurden Millionen von Nutzern mit klassischen Spammails angeschrieben. Man hoffte, dass am Ende vielleicht 100 zahlen. Heute werden zielgerichtet Opfergruppen ausgesucht." Das ist effektiver.

Vorsicht bei Email-Bewerbung

Chimeras Opfer sind kleine bis mittelständische Unternehmen: Die Firmen bekommen eine Email, die einen Mitarbeiter dazu bringen soll, die Installation des Trojaners zu starten. Aus Stellenangeboten öffentlicher Portale wie der Arbeitsagentur, Jobscout oder Stepstone werden Adressen von Unternehmen generiert, die beispielsweise eine Frisörin, einen Verpackungstechniker oder Bäckerlehrling suchen.

Das gefährliche Programm steckt in einer Mail, die sich liest wie ein individuell auf die Anforderungen zugeschnittenes Bewerbungsschreiben: Wo's um den Ausbildungsplatz geht, ist die Rede davon, wie das Interesse an dem Beruf in einem Praktikum geweckt wurde, beim Gesellen wird über die Erfahrungen geschrieben und die Freude über eine Einladung zu einem persönlichen Gespräch bekundet. Am Ende wird immer darauf verwiesen, dass die Unterlagen angehängt sind, und zwar auf einem Internetspeicher wie Dropbox. In Wirklichkeit steckt darin der Trojaner.

Trojaner in der Bewerbung

"Das ist wirklich clever", sagt Schneider. "Bewerbungsunterlagen übersteigen oft die zulässige Größe einer Email, deshalb ist es nicht ungewöhnlich, dass sie auf so einen Cloudspeicher hochgeladen werden." Es gibt nur eine Möglichkeit, zu erkennen, dass die vermeintliche Bewerbung in Wirklichkeit eine .exe-Installationsdatei ist: Mit der Maus über die URL fahren, dann wird der wirkliche Downloadlink angezeigt. Wer den Link anklickt, sieht kurz darauf eine wirre Zeichenfolge: Er hat die Installation des Chimera-Trojaners gestartet. Sofort werden die Festplatte und angehängte Netzwerklaufwerke verschlüsselt. Alle Rechner zeigen nur noch das Erpresserschreiben. Das Firmennetzwerk ist gesperrt.

Lösegeldforderung: 0,93 Bitcoins

Bundesweit ist Chimera seit zwei Monaten im Umlauf und wurde in dieser Zeit auch schon mehrfach modifiziert. "Am Anfang wollten die Erpresser 10.000 und mehr Euro. Das scheint nicht gut funktioniert zu haben. Jetzt fordern sie unter 300 Euro." Der genaue Betrag hängt vom Wechselkurs ab, denn das Lösegeld soll in der virtuellen Währung Bitcoin transferiert werden. Der IT-Spezialist der Polizei erklärt, dass jede Banküberweisung - selbst wenn sie ins Ausland geht - nachvollzogen werden kann. "Bitcoins sind aktuell nicht nachvollziehbar."

Allerdings weiß auch nicht jeder, wie das mit dem virtuellen Geld funktioniert, das in Wallets, in digitalen Geldbörsen, gesammelt wird. In der neuesten Version von Chimera bieten die Erpresser ihren Opfern aus dem Hintergrund technische Hilfestellung beim Geldtransfer an.

Schneider weiß, dass einige Unternehmer zahlen. Obwohl die Polizei dringend davon abrät. Aber vom Frisör bis zum Bäcker sind alle Firmen auf ihre Computer angewiesen: Dienstpläne, das Kassensystem, die Kundendatei und Auftragsliste, Rechnungen, Lieferantendaten und Bestellvorgänge - alles ist elektronisch. Der Bäcker aus dem Raum Bamberg wusste nach dem Chimera-Befall zum Beispiel erst einmal nicht, welche Verkaufsstätten beliefert werden müssen. Und womit. Und wieviel davon gebacken werden muss. Ach ja: Backen hätte er sowieso nicht können, denn die Öfen sind an den zentralen Server angeschlossen.

Ein Bäcker mit Backup

Der Bäcker zahlte nicht. "Er hat sein System mit einem Backup wieder hinbekommen. Sonst hätte es in Bamberg keine Brötchen gegeben", sagt Schneider. Das "Backup" der Bäckerei hat mit Backen nichts zu tun, sondern bezeichnet die Datensicherung, mit der das Computersystem wieder hergestellt wurde. Backups gehören neben Firewall, Antivirenprogramm und der Sensibilisierung der Mitarbeiter zu den wichtigsten Computer-Schutzmaßnahmen. "Die Mittelständler, die zu uns gekommen sind, hatten Backups. Sie waren alle IT-technisch gut aufgestellt", sagt der Bamberger Kriminaloberkommissar.

Mehr als Betrug: Sabotage

Doch auch bei Firmen, die vorgesorgt haben, verursacht der Trojaner immensen Schaden. Die Datenwiederherstellung dauert. Schneider berichtet von einem fränkischen Logistikunternehmen, das den Chimera-Befall dank Backup nach einem halben Tag wieder im Griff hatte. "1000 Mitarbeiter konnten einen halben Tag lang nicht arbeiten."

Die bisherige Schadenshöhe lässt sich nicht beziffern. "Aber hier werden ganze Unternehmen geschädigt", sagt Schneider. Das sei kein Computerbetrug mehr. "Hier reden wir von Computersabotage." Darauf reagiert unser Rechtssystem empfindlich, wie auch das Strafmaß zeigt: Bis zu zehn Jahre Haft kann es dafür geben.
 

Sicherheitstipps der Polizei

Backup Wer regelmäßig Datensicherungen anlegt, kann sein System wiederherstellen - mit dem Stand, den es beim letzten Backup hatte. Oft die letzte Lösung, wenn das System beispielsweise von einem Trojaner befallen ist.

Schutzprogramme Aktuelle Firewall und Antivirenprogramm minimieren das Risiko, sich einen Virus, Wurm oder Trojaner einzufangen.

Sensibilisierung Unternehmen sollten die Mitarbeiter regelmäßig auf Gefahren aufmerksam machen - zum Beispiel erklären, dass der wirkliche Downloadlink angezeigt wird, wenn man mit der Maus über den Link fährt. So ist eine versteckte .exe-Installationsdatei zu erkennen. Noch sicherer ist's, wenn die Mitarbeiter in einer "virtuellen Maschine" arbeiten, die vom Firmennetzwerk abgekoppelt ist.