Digitale Schutzgelderpressung

by Volker Weber

"Schöne Office-Dokumente hast Du da. Wäre doch schade, wenn da was passiert."

Microsoft lässt die Computer-Nutzer im Stich. Trotz aller Anstrengungen um eine verbesserte Sicherheit haben sie es nicht geschafft, ein System zu schaffen, mit dem man "einfach arbeiten" kann. Überall lauert Gefahr.

Der aktuelle Albtraum heißt Locky. Der Anwender erhält ein Office-Dokument, das beim Öffnen seinen Rechner infiziert. Die Schadsoftware denkt sich einen Schlüssel aus und verschlüsselt damit alle Dokumente, die es packen kann. Auf diesem Rechner, auf Netzwerklaufwerken. Es löscht ältere Versionen und infiziert mittelbar auch die Sicherheitskopien, die nach der Infektion angelegt werden. Wenn der Schaden angerichtet ist, kommt die eigentliche Erpressung. "Gib mir Geld und ich gebe Dir einen Nachschlüssel" lautet das Versprechen. Aktuell ein Bitcoin, oder ca. 390 Euro.

Der Mithelfer bei dieser ganzen Erpressung heißt Microsoft Office. Es erlaubt nämlich, dass nicht nur Daten, sondern auch Programme mit dem Dokument reisen. Die heißen "Makro" und sollen eigentlich bei der Verarbeitung des Dokumentes helfen. Das ist in der Standard-Einstellung erlaubt.

Den Anwender trifft keinerlei Schuld. Er macht alles richtig. Es ist völlig normal, dass er Office-Dokumente erhält und weiterverarbeitet. Wer das in Abrede stellt, ist vollkommen naiv. Natürlich gibt es super-primitive Workflows mit reinen Textdateien mit fester Zeilenlänge, Formatierungs-Anweisungen im Text, Anmerkungen mit Dollarzeichen. (Wo ich das wohl her habe?) Und es gibt Einsiedler, die überhaupt keine Anhänge annehmen oder mit exotischer Software arbeiten. Um die geht es mir nicht. Mir geht es um die Heerscharen von Normalos, die sich einen Laptop für 400 Euro kaufen und nutzen. Oder die von ihrer Firma an einen Arbeitsplatz gesetzt werden, an dem sie fortan ihre Mailflut abarbeiten.

Wir haben es in Jahrzehnten geschafft, alle Nutzer dazu zu erziehen, Dialoge mit Technikchinesisch wegzuklicken. Zertifikat abgelaufen? Was soll das sein? Wie geht es hier weiter? Wir haben die Nutzer mit hunderten komplizierter Passwörter zugeschüttet, die Rechner mit gefühlter Sicherheit vollgepumpt und doch mit Meldungen wie "Ihr System könnte gefährdet sein" allein gelassen.

Und selbst die angemahnte Medienkompetenz nützt nichts. Keine Anhänge von Fremden? Dass ich nicht lache. Wie einfach ist es, die zehn häufigsten Kommunikationspartner zu ermitteln? Und wer der Experten kann ein sicheres Dokument von einem unsicheren so zuverlässig unterscheiden, dass er gar niemals auf die falsche Schalftfläche klickt?

Wer möglichst viele Anwender erreichen will, baut für die dominante Plattform. Auf PCs ist das Windows, bei mobilen Geräten Android. Die sind nicht nur weit verbreitet, sondern auch ausreichend mit hahnebüchenen Bastelanweisungen versorgt.

Es gibt keine Sicherheit. Aber man kann sich schlau verhalten. Dort, wo man frei entscheiden kann. Vermeiden Sie größere Menschenansammlungen. Also Windows und Android. Diese Option haben nur wenige.

Comments

Wahre Worte. Das ist einer der Gründe, warum ich inzwischen auf Pages, Numbers und Keynote setze. Manchmal ist weniger einfach mehr und für meine Ansprüche sind die genannten Produkte ausreichend.

Frank Köhler, 2016-02-20

Ärgerlich. Danke für die Warnung.

Wahrscheinlich eine naive Frage: wenn ich in Office für Mac so ein Dokument erhalte - gibt es dann auch eine Gefahr (Ich dacht immer, das die Makros da ja nicht komplett laufen und Schadsoftware nicht universell ist - aber wer weiss).

Thomas Nowak, 2016-02-20

Offline Backups, möglichst lange. Awareness (haha). Und auch das hilft nur, abzufedern, je nachdem, wie lange der Schädling zwischen Vollzug und Entzug wartet. Es ist supergemein.

Ich verändere gerade heute zuhause(!) einige strukturelle Dinge, um besser vorbereitet zu sein und den Impact abzufedern, denn auch ich habe hier Normalos im Netz. Nun bin ich aber ein perfekt in der Materie steckender Profi. Und selbst das wird bei Befall knapp werden und richtig wehtun. Normalos sind hier wirklich Freiwild.

Verschlüsselungstrojaner sind ein in solchem Maße gemeiner Eingriff, das kommt (glaube ich) vom Gefühl her einem Wohnungseinbruch nahe. Hier können leicht Menschen zu Schaden kommen (siehe z.B. Krankenhäuser). Die Akteure sind den Diensten vermutlich bekannt oder wären zumindest zu ermitteln. Aber es geht ja nur um Normalos, da ist es egal. Aber wehe, jemand fährt zu schnell, da funktioniert die Maschine PERFEKT. Der blanke Hohn.

Ein Ansatz wäre, zu hoffen, dass mal 'dem Falschen' was wegverschlüsselt wird...

Hubert Stettner, 2016-02-20

Thomas, eine Schadsoftware braucht Voraussetzungen. Die bei Dir (diesmal) nicht gegeben sind.

Volker Weber, 2016-02-20

Ich verstehe dabei nicht, dass ein Office Makro einfach so auf alle Dateien des Computers inklusive Wechseldatenträger und Netzlaufwerke zugreifen darf.

Letztlich ist das aber wohl unerheblich, wenn nicht dieser Weg offen wäre, gäbe es sicher andere Wege. Und das witzigste ist doch, dass wohl kein einziges Antivirenprogramm Schutz dagegen geboten hat.

Da bezahlen Benutzer also Geld für Sicherheitssoftware, die den Rechner langsam macht und trotzdem vor so eine Gefahr keinerlei Schutz bietet.

Und das alles nach so vielen Jahren mit Millionen von Schädlingen, da könnte man doch annehmen, dass Windows Software nicht mehr solche Möglichkeiten bietet. Natürlich sind auch andere Systeme angreifbar, aber so einfach und in so einem Ausmaß?

Julian Buß, 2016-02-20

Das ist etwas komplizierter. Das Makro schlägt nur den ersten Haken in die Wand. Der Rest wird daran hochgezogen.

Volker Weber, 2016-02-20

Die wichtigste Frage wird hier wohl völlig ausser Acht gelassen und die ist, was macht eigentlich die Polizei den lieben ganzen Tag. Ich meine wir reden hier von einer knallharten Erpressung und man liest immer nur Microsoft oder Google sollten dies oder jenes verbessern. Sind wir doch ehrlich, Software lässt sich nicht so designen, dass sie verwendbar und dabei absolut sicher ist. Das gleiche gilt auch im realen Leben, wo wir unsere Lebensumstände nicht so gestalten können, dass wir in absoluter Sicherheit leben. Deshalb ermittelt im realen Leben bei geschehenen Verbrechen die Polizei und verfolgt die Täter. Also nocheinmal warum hat die Polizei nicht längst eine Soko gegründet, die versucht diese Erpresser dingfest zu machen. Der Vorgang ist doch exakt der gleiche wie bei einer normalen Erpressung. Man wird erpresst und bezahlt das Lösegeld. Dabei überwacht die Polizei die Geldübergabe und versucht die Erpresser bei der Geldübergabe zu schnappen. Auch wenn das in Zeiten von BitCoin & Co. sicher eine Herausforderung ist, müssten bei der Übergabe der BitCoin's an die Erpresser verwertbare Spuren entstehen.

Ralf M Petter, 2016-02-21

Ich glaube nicht dass das so einfach durch irgendeine simple Soko zu schaffen ist. Sehr oft sitzen die Erpresser ueber alle Welt verteilt in Nochnievongehoertstan und Korruptiland wo das mit der internationalen Kooperation der Polizei nicht weit her ist. Die duerften auch bei der Geldwaesche ihre Finger drin haben und einiges an Erfahrung haben, was die Verfolgung auch wieder schwieriger macht.

Armin Grewe, 2016-02-21

Ich teile die Fragen von Ralf und möchte Armins Aussagen wie folgt kommentieren:

Wie kann es sein, dass man heutzutage sich immer noch in Dritt/Viertländer rechtsfrei zurückziehen kann? Dabei will uns die Vorratsdatenspeicherung / "Wir müssen Kriminelle Dingfest machen" Fraktion doch immer einreden dass wir gerade deswegen unsere Privatsphäre aufgeben sollen, damit man endlich die Bösen verfolgen kann. Und bei so völlig offensichtlichen Straftaten sind die Behörden dann machtlos? Passt nicht, Sorry.

Man muss mal davon ausgehen, dass von Attacken wie Locky wesentlich mehr Gefahr ausgeht als von Terrorangriffen. Denn das Potential was dahinter steckt, siehe diverse Krankenhäuser die lahmgelegt wurden, das ist doch erschütternd. Und nebenbei ist die Untätigkeit der Behörden, wenn sie denn wirklich untätig sein sollten, natürlich auch eine Einladung für Nachahmer.

Im Übrigen: Normalweise wird immer auf Windows Lücken geschimpft. Normalweise weise ich darauf hin, dass Sicherheitslücken leider nicht auszuschließen sind und es viel wichtiger ist, wie schnell der Hersteller darauf reagiert. MS ist da normalweise recht vorbildlich. Aber: Dieser Quatsch mit den Makros in Office, das ist nun wirklich fahrlässig, denn die Makro Würmer gab es doch schon vor über 15 Jahren.

Roland Dressler, 2016-02-21

Also zwei Sachen muss ich zum Schutz von MS jetzt doch einmal korrigieren:

1. Zumindest in Office 2013 sind Makros sehr wohl standardmäßig deaktiviert ("Alle Makros mit Benachrichtigung deaktivieren"). Bei den älteren Versionen bin ich mir nicht sicher?

2. Bei mir löschen locky und Konsorten weder Backups noch ältere Versionen (Schattenkopien) oder ähnliches. Ein Hauptproblem ist das sicherlich 95% aller Privatpersonen standardmäßig mit einem Admin Konto arbeiten. Genau das braucht es aber um Schattenkopien überhaupt zu löschen!
Wenn dann auch noch der Standard Benutzer für die tägliche Arbeit max. lesenden Zugriff auf die (regelmäßigen) Backups hat sollten zumindest diese sicher sein.

Etwas ganz anderes ist es natürlich wenn die Schadsoftware durch irgend eine Schwachstelle auch noch Admin Rechte bekommt...

René Herwig, 2016-02-21

Sorry, aber ich verstehe die Frage nicht: "Wie kann es sein, dass man heutzutage sich immer noch in Dritt/Viertländer rechtsfrei zurückziehen kann?"

Weil die Welt nicht perfekt ist und es genuegend kaputte, korrupte, "unterentwickelte" Laender gibt die anders sind als Deutschland. Wo ist da jetzt die Ueberraschung?

Armin Grewe, 2016-02-21

@Armin Diese ganzen Erpresser sitzen aber meistens nicht in irgendwelchen Dritt/Vierteweltländer sondern ganz normal in Europa. Immerhin wollen sie ihr ergaunertes Geld in einer angenehmen Umgebung ausgeben und nicht in einem kaputten Staat. Auch das mittlerweile perfekte Deutsch spricht eher dafür, dass hier sehr wohl Deutsche auch mitmischen.

Ralf M Petter, 2016-02-22

Recent comments

Chris Lindley on Sen.se is kaputt at 10:14
Volker Weber on Ed Bott :: How to master Microsoft's free cloud storage at 09:58
Ralph Inselsbacher on Ed Bott :: How to master Microsoft's free cloud storage at 09:44
Ragnar Schierholz on Backup important folders to OneDrive at 08:58
Volker Weber on Ed Bott :: How to master Microsoft's free cloud storage at 12:49
Peter Meuser on Ed Bott :: How to master Microsoft's free cloud storage at 12:42
Sulayman Marena on A hot Apple autumn at 08:50
Samuel Orsenne on Ed Bott :: How to master Microsoft's free cloud storage at 15:08
Volker Weber on Ed Bott :: How to master Microsoft's free cloud storage at 12:08
Axel Koerv on Ed Bott :: How to master Microsoft's free cloud storage at 11:59
Volker Weber on Puzzling Surface Health Report at 10:59
Markus Dierker on Puzzling Surface Health Report at 09:51
Frank van Rijt on Ed Bott :: How to master Microsoft's free cloud storage at 08:29
Stephan H. Wissel on Puzzling Surface Health Report at 02:57
Volker Weber on A hot Apple autumn at 19:45
John Head on A hot Apple autumn at 19:21
Johannes Matzke on A hot Apple autumn at 16:28
Uwe Brahm on Microsoft Office 365 :: Dilettantischer Service at 15:41
Volker Weber on Microsoft Office 365 :: Dilettantischer Service at 15:25
Torben Volkmann on Microsoft Office 365 :: Dilettantischer Service at 15:13
Jens Nullmeyer on A hot Apple autumn at 15:09
Ingo Harpel on Microsoft Office 365 :: Dilettantischer Service at 14:46
Ragnar Schierholz on Microsoft Office 365 :: Dilettantischer Service at 13:50
Hubert Stettner on Microsoft Office 365 :: Dilettantischer Service at 10:02
Stefan Dorscht on Microsoft Office 365 :: Dilettantischer Service at 09:56

Ceci n'est pas un blog

I explain difficult concepts in simple ways. For free, and for money. Clue procurement and bullshit detection.

vowe

Contact
Publications
Stuff that works
Amazon Wish List
Frequently Asked Questions

rss feed  twitter  amazon

Local time is 10:26

visitors.gif

buy me coffee