Hannover

Die Handwerkskammer Hannover wird von Internetkriminellen erpresst: Ein Schadprogramm (Trojaner) ist in das EDV-System eingedrungen, hat alle Daten aus dem Computersystem abgegriffen und die Originaldaten verschlüsselt. Für die Entschlüsselung wollen die Kriminellen Geld sehen. Die Handwerkskammer (HWK) kann derzeit nur eingeschränkt arbeiten – das EDV-System muss neu aufgesetzt werden, unklar ist, ob die routinemäßig angelegten Sicherungsdateien zur Wiederherstellung verwendet werden können oder ob die Daten alle erneut eingegeben werden müssen.

Die Schadsoftware ist bereits vergangene Woche Mittwoch ins System eingedrungen. Laut HWK-Sprecherin Nina Lemmerz-Sickert ist sie per E-Mail ins System gelangt und hat dann ihr Werk begonnen. Als das Eindringen und die Aktivität von der IT-Abteilung bemerkt wurde, seien Gegen- und Sicherheitsmaßnahmen getroffen worden, insbesondere seien „alle Netzwerkverbindungen gekappt und alle Rechner stillgelegt“ worden. EDV-Experten wissen: Computer in so einem Fall nicht normal herunterfahren, sondern hart ausschalten – Stecker ziehen!

Kammer will nicht zahlen

Bei der HWK geschah die Gegenmaßnahme wohl weitgehend zu spät: „Nach aktuellem Kenntnisstand müssen wir davon ausgehen, dass alle Daten aus lokalen Netzwerken abgefischt wurden“, erklärt HWK-Hauptgeschäftsführer Peter Karst. Betroffen seien „insbesondere Daten von Mitarbeitenden, Schriftverkehr sowie Datenaustausch mit Mitgliedsunternehmen und deren Beschäftigten einschließlich Auszubildenden sowie mit Fördermittelgebern und Dienstleistern.“

Klar sei: Man befolge den Rat der Ermittlungsbehörden und werde „der Lösegeldforderung zur Entschlüsselung der Daten nicht nachgeben.“ Unklar sei, ob die Erpresser die gewonnenen Daten tatsächlich veröffentlichen und somit Dritten zugänglich machen werden. Bislang habe man keine Kenntnis darüber, dass Daten veröffentlicht worden seien. Welche Summe die Erpresser fordern – es handelt sich um ein Schadprogramm namens Sodinokibi – will die HWK nicht sagen.

Sicherungen auch betroffen?

Lemmerz-Sick sagt, die HWK erwarte, dass ihr EDV-System Anfang nächster Woche wieder einsatzbereit sein wird. Im Moment arbeite man mit einem provisorischen System, parallel werde ein neues aufgesetzt. „Es geht langsam wieder Richtung Normalität zurück. Derzeit ist aber noch viel Papierarbeit und Telefonieren angesagt“, beschreibt sie die aktuelle Arbeitslage der Mitarbeiter der HWK. Problematisch könnte es werden, wenn die vorhandenen Datensicherungen - sogenannte Back ups – nicht verwendet werden können: „Es ist noch unklar, ob und wenn ja, in wie weit die betroffen sind.“ Dann müssten alle Daten neu eingepflegt werden.

Opfer und Erpresser

Das Schadprogramm Sodniokibi ist ein Trojaner, auch als REvil, oder Sodin bekannt, und gehört zu der Gruppe, die Ransomware genannt wird (Ransom bedeutet Lösegeld). Bekannt wurden etwa Emotet, Ryuk und Darkside sowie Grand Grab (als dessen Nachfolger Sodniokibi gilt). Emotet etwa drang vergangenes Jahr sogar in den hannoverschen IT-Fachverlag Heise, Herausgeber des renommierten Computermagazins c’t, ein und legte auch die Stadtverwaltung von Neustadt am Rübenberge lahm. Die mit solchen Programmen durch Cyberkriminelle erpressten Summen gehen in die hunderte Millionen. Unsicher ist in jedem Fall immer: Wird auch wirklich entschlüsselt, wenn bezahlt ist? Für viele solcher Verschlüsselungs-Malware gibt es inzwischen aber frei verfügbare, kostenlose Lösungen, die die Verschlüsselung knacken und rückgängig machen können.

Trojaner

Trojaner heißen solche Programme, weil sie in ein EDV-System als etwas scheinbar Harmloses gelangen (etwa als Email mit Anhang) - und erst später den „bösen“ Programmcode ins System einbringen, aktiv werden. So wie die Griechen, die dem belagerten Troja ein Holzpferd vor die Tore stellten und ihren Abzug vortäuschten. Das Pferd wurde in die Stadt geholt – und des Nachts entstiegen seinem Bauch die Krieger und öffneten die Tore, die Griechen drangen ein, die Stadt wurde erobert.

Von Ralph Hübner