Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Deutsche Stadtverwaltung mit Trojaner erpresst – und die konnte bloss noch zahlen

Ein Erpressungs-Trojaner hatte die Stadtverwaltung im unterfränkischen Dettelbach weitgehend lahmgelegt. Die Behörde sah sich gezwungen, das verlangte Lösegeld zu zahlen.

Jörg Diehl und Björn Hengst



Ein Artikel von

Spiegel Online

Am 8. Februar ging plötzlich kaum noch etwas in der Stadtverwaltung von Dettelbach.

Auf einem der Arbeitsplatzrechner in der Behörde der kleinen unterfränkischen Stadt bei Würzburg hatte sich am Morgen eine Schadsoftware aktiviert - sie war im Anhang einer E-Mail transportiert worden. Die Daten auf den Servern der Stadt mit rund 7000 Einwohnern waren plötzlich verschlüsselt. Eine Anzeige auf dem Bildschirm forderte zur Zahlung eines Lösegeldes auf, um den Rechner wieder benutzbar zu machen.

Image

Das Rathaus von Dettelbach.
bild: wikicommons/Settembrini

Nach Angaben des Polizeipräsidiums Unterfranken kam bei der Virusattacke die Schadsoftware Tesla-Crypt in der Version 2.0 oder 3.0 zur Anwendung. Mit Tesla-Crypt wird schon länger erpresst – vergangenen Sommer etwa berichtete das Virenschutz-Unternehmen Kaspersky, wie Computerspieler unter dem Virus zu leiden haben - er verschlüsselt nämlich auch Spielstände. Auch in diesen Fällen wurde ein Lösegeld verlangt, in der Regel in Höhe von 500 Dollar.

Zuletzt wurde bei Erpressungsviren neben Tesla-Crypt vermehrt der Trojaner Locky eingesetzt. So hatte Locky Mitte Februar binnen 24 Stunden rund 17'000 Rechner in Deutschland infiziert.

Deutsche Polizei rät, nicht zu bezahlen

Das Besondere am Tesla-Crypt-Fall in Dettelbach: Die Stadtverwaltung zahlte das Lösegeld. Von diesem Schritt rät die Polizei ab.

Zwar sei es nachvollziehbar, wenn sich Betroffene im Einzelfall zur Zahlung des Lösegeldes entschliessen würden. Die Sicherheitsbehörden weisen aber darauf hin, dass es keine Garantie dafür gebe, dass die Daten nach der Zahlung auch wirklich entschlüsselt werden könnten. Zum anderen bestehe das Risiko, dass man die Straftäter zu einer Wiederholung animiere.

Kaspersky-Pressemitteilung Teslacrypt

Erpresser-Trojaner fordert Lösegeld.
Bild: kaspersky lab

Die Erpresser hatten die Stadtverwaltung Dettelbach zur Zahlung von 1.3 Bitcoin aufgefordert, rund 540 Franken. Der Polizei zufolge führte eine von der Stadtverwaltung beauftragte Fachfirma die Zahlung durch. Anschliessend war es möglich, einen Teil der Daten wiederherzustellen.

Dennoch sei es anschliessend zu einem «weitreichenden Ausfall des EDV-Systems mit Datenverlusten» gekommen, teilte die Stadtverwaltung an diesem Donnerstag mit. Diese Probleme seien aber nur mittelbar durch die eingedrungene Schadsoftware ausgelöst worden. Vielmehr seien sie durch «Fehlfunktionen im bestehenden EDV-System sowie Fehlentscheidungen bei der Rücksicherung» entstanden.

Stadtwerke mit ernsten Problemen

Infolge der Erpresser-Software war das Einwohnermeldeamt der unterfränkischen Stadt vorübergehend geschlossen. Ab kommenden Montag soll die Stadtverwaltung wieder komplett geöffnet sein. Die Stadtwerke Dettelbach haben dagegen wegen des Trojaner-Angriffs noch Probleme: Sie baten zuletzt ihre Kunden, im Fall von Kündigung, Auszug oder Lieferantenwechsel Kopien der Jahresabrechnung 2015 für Strom und Wasser einzuschicken. Die Kripo Würzburg hat im Fall Dettelbach die Ermittlungen aufgenommen – es geht unter anderem um den Vorwurf der Erpressung.

Das Mekka der Hacker und Nerds

Ein anderer Fall beschäftigt derzeit das bayerische Landeskriminalamt. Betroffen ist nach Informationen von «Spiegel Online» eine Behörde mit mehr als 1900 Beschäftigten. Mehrere Mitarbeiter hatten demnach den schädlichen Anhang einer E-Mail geöffnet. Mehr als eine Million Dateien im Netzwerk der Behörde wurden daraufhin durch den Trojaner verschlüsselt. Der dadurch verursachte Schaden ist enorm: Er wird auf rund 550'000 Franken beziffert.

Die beiden Fälle reihen sich ein in einer nicht abreissende Serie derartiger Straftaten. Erst vor wenigen Wochen mussten mehrere Krankenhäuser im Bundesland Nordrhein-Westfalen ihren Betrieb teilweise einstellen, weil auch ihre Rechnersysteme von Ransomware-Trojanern verschlüsselt worden waren.

Wie Apple, Google und Facebook entscheiden, was wir lesen – und was nicht

Jetzt kannst du News direkt auf Facebook lesen. 8 Gründe, warum dies mehr Spass macht als auf Newsportalen – und 8 Gründe, warum das stinkt​

Link to Article

Die digitale Medienrevolution hat erst gerade begonnen und das sind die 3 wichtigsten Trends

Link to Article

Facebook erklärt seine Spielregeln: Pobacken und Brustwarzen nein, die Vagina von Courbet ja

Link to Article

Darum muss Google zerschlagen werden

Link to Article

Wie die Popstars aus den Kinderzimmern mit YouTube Millionen verdienen

Link to Article

Facebook macht jetzt Journalismus: Warum wir uns der Realität nicht verweigern können

Link to Article
Alle Artikel anzeigen
Alle Artikel anzeigen

Abonniere unseren Newsletter

Abonniere unseren Newsletter

5
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
5Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • John M 07.03.2016 07:47
    Highlight Highlight "Fehlentscheidungen bei der Rücksicherung"? Also Backup verpennt.
    Der IT verantwortliche kann schon mal (zu recht) auf Stellensuche gehen...
    7 1 Melden
  • Scaros_2 05.03.2016 22:15
    Highlight Highlight Sie hätten auch die awareness der Mitarbeiter verbessern können bezüglich solche Softwares usw. Man muss heute Menschen die mit Computer und Technik arbeiten Schulen aber das verpennen so viele Unternehmen! Gerade Deutschland hinkt da gewaltig hintennach. Die Schweiz ist aber auch nicht sonderlich gut. Je besser der Mitarbeiter bescheid weis, auch wenn er 60 Jahre alt ist desto besser kann sich das Unternehmen schützen. A. und O. SCHULEN.
    31 2 Melden
  • Hippie-ster 05.03.2016 21:59
    Highlight Highlight Schon seit dem Jahr 2000 kann man sich mit Attachments schnell und einfach in ein Unternehmen hacken und einen gewaltigen Schaden anrichten. Trotzdem werden weiterhin Files primär via Email versendet.

    Was ich einfach nicht begreife ist, wieso Behörden und Unternehmen weiterhin Emails mit Attachments erlauben?
    16 1 Melden
    • Alnothur 06.03.2016 22:10
      Highlight Highlight Weil solche Anhänge völlig simpel zu erkennen sind. Nur weil wahllos Leute angestellt werden, ob sie nun im Umgang mit Computern völlig planlos-naiv sind oder sich auskennen, ist das nicht der Fehler von Attachments.
      Was ich mich eher frage: Warum werden Mails mit relevanten Anhängen nicht einfach SIGNIERT? Überdies ist es auch keine Kunst, Anhänge vor der Zustellung durch einen Virenscanner zu schleusen.
      6 0 Melden
    • Hippie-ster 07.03.2016 07:22
      Highlight Highlight Attachments werden selbstverständlich durch einen Virenscanner geschleust. Es ist leider so, dass die Virenscanner bei der Flut von Schädlingen nicht mehr nachkommem

      Es sind auch nicht nur ahnungslose Angestellte, die Attachments öffnen. Eine Person im HR die ein CV als Attachment erhält, wird es wohl öffnen.

      0 1 Melden

Wird YouTube gelöscht? Dieses Video versetzt Hunderttausende Jugendliche in Panik

Seit dem Wochenende schieben Hunderttausende, meist sehr junge YouTube-Fans Panik. Grund ist ein Video mit dem Titel «Warum es Youtube nächstes Jahr nicht mehr gibt». Es wurde am 2. November vom YouTube-Kanal «Wissenswert» veröffentlicht und macht nun die Runde.

Im Video, das in drei Tagen rund 2,5 Millionen Mal geschaut wurde, erzählt eine Männerstimme in besorgtem Tonfall:

YouTube plane, alle europäischen Kanäle, die nicht zu grossen Firmen gehören, zu löschen, erzählt die Stimme im …

Artikel lesen
Link to Article