Bislang hatte man Cryptolocker (also Trojaner, die Dateien auf dem infizierten System verschlüsseln) und die Erpressung von Lösegeld (zumeist in Bitcoin) zur Entschlüsselung der verschlüsselten Daten eher als kriminelles „Randphänomen“ gesehen. Dies dürfte sich seit dem Wochenende geändert haben. Ein Cryptolocker namens „WannaCry“ hat die bislang größte Verschlüsselungsattacke gestartet. Betroffen waren Systeme weltweit. Besonders brisant war dabei, dass gesellschaftliche relevante Systeme im großem Umfang betroffen waren. So führte die Infizierung von Rechnern des britischen National Health Service zu chaotischen Zuständen in britischen Krankenhäusern. Auch internationale Unternehmen aus der Automobil-, Transport- und Telekommunikationsbranche meldeten zahlreiche Infektionen. Die Besitzer der infizierten Systeme werden dabei erpresst: Den Schlüssel zur Entschlüsselung ihrer Daten erhalten sie von den Erpressern nur, wenn sie eine bestimmte Summe in Bitcoins bezahlen.

Technisch gesehen weist WannaCry eine Besonderheit auf: Anders als bisher kursierende Cryptolocker ist WannaCry nicht (nur) auf eine Verbreitung per E-Mail (und damit auf menschliche Mithilfe) angewiesen. Der Verschlüsselungstrojaner breitet sich nach der Infektion eines Systems selbständig auf andere vom infizierten System erreichbare Systeme aus und infiziert auch diese. Er nutzt hierfür eine Sicherheitslücke im Betriebssystem Windows, die bei älteren und nicht mehr automatisch mit Updates versorgten Versionen vorhanden ist (Besitzer solcher Versionen sollten sich also unbedingt den von Microsoft bereits zur Verfügung gestellten Patch herunterladen).

Zwischenzeitlich haben Sicherheitsforscher zwar einen Mechanismus entdeckt (und genutzt), der die Verbreitung von WannaCry hemmt. Jedoch besteht natürlich die Gefahr einer weiteren Angriffswelle mit einer „verbesserten“ Version, welche von dem gefundenen Mechanismus nicht mehr beeinträchtigt wird.

Quelle und weiterführende Informationen mit regelmäßigen Updates: heise.de

Die Infektion eines Systems mit einem Cryptolocker erfüllt (im Regelfall) gleich mehrere Straftatbestände des StGB: Da sich er Trojaner Zugriff auf die Daten des infizierten Systems verschafft liegt § 202a StGB (Ausspähen von Daten) vor. Durch die Verschlüsselung der Daten und das Weiterverbreiten unter Nutzung des Systems werden außerdem Daten auf dem infizierten System verändert und damit der Tatbestand der Datenveränderung (§ 303a StGB) erfüllt. Wird dabei eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist (z.B. die der Erwerbstätigkeit dient oder wie im vorliegenden Fall Produktionsanlagen oder Dienstleistungssysteme steuert) gestört, liegt auch § 303b StGB (Computersabotage) vor. Bereits die Herstellung des Cryptolockers steht gem. § 202c StGB (Vorbereiten des Ausspähens von Daten) unter Strafe. Die Erpressung von Bitcoins als „Lösegeld“ wird als Erpressung nach § 253 StGB erfasst. Hierbei wird regelmäßig auch ein besonders schwerer Fall vorliegen, da die Täter gewerbsmäßig (also mit der Absicht, sich durch die Wiederholung ihrer Tat eine fortlaufende Einkunftsquelle zu verschaffen) und als Mitglieder eine Bande (mindestens drei Täter, die sich zur Begehung entsprechender Taten verbunden haben) handeln. Das deutsche Strafgesetzbuch ist also ausreichend zur Bekämpfung solcher Straftaten gewappnet.

Oftmals schwierig gestalten sich dagegen die Ermittlungen des oder der Täter. Da die Zahlungen in Bitcoins erfolgen, ist eine Nachverfolgung der Zahlungsströme zwar möglich, jedoch werden „Konten“ (Bitcoin-Adressen) im Bitcoin-System unter Pseudonymen betrieben, so dass es für die Strafverfolger schwierig ist, die hinter den Adressen stehenden Personen zu identifizieren. Oft haben die Täter auch weitere Maßnahmen zur Verschleierung ihrer Identität und der Verwischung ihrer digitalen Spuren getroffen (z.B. Nutzung von Anonymisierungssoftware). Schließlich operieren die Täter nicht selten aus dem Ausland heraus, was die Strafverfolgung durch deutsche Behörden weiter erschwert.

CR