Herr Ransom bewirbt sich als Bestattungshelfer

Sie suchen einen neuen Mitarbeiter (m/w)? Es gibt verschiedene Möglichkeiten, Stellenanzeigen zu schalten. Kostengünstiger und effektiver als Printanzeigen in der Lokalzeitung sind die Vermittlungsportale im Internet. Egal, ob bei der Bundesagentur für Arbeit, speziellen Onlineportalen für Stellenvermittlungen oder die Jobbörse auf der Webseite eines Bestatterverbandes. Doch Vorsicht ist angebracht, denn Internetbetrüger werden immer raffinierter. In den Bewerbungsunterlagen kann ein Erpressungstrojaner verborgen sein.


Ransomware (von englisch ransom für „Lösegeld“), bezeichnet Schadprogramme, mit denen ein Internetbetrüger Zugriff auf einen Computer bekommt und dort den Zugriff auf Daten und ganze Computersysteme verhindern kann. Die Daten auf dem eigenen Computer sind plötzlich verschlüsselt und der Zugriff auf sie verhindert. Für die Entschlüsselung oder Freigabe wird ein Lösegeld gefordert. Die Erpressungstrojaner tragen so blumige Namen wie Goldeneye, Locky oder Petya.

Die Anschreiben sind so realistisch, dass sie eine handfeste Gefahr darstellen

Betroffen sind gleichermaßen Personalabteilungen großer Unternehmen, als auch kleine Handwerksbetriebe. Die Entwickler der Erpressungssoftware schreiben gezielt Unternehmen an. Sie beziehen sich detailliert auf offene Stellenausschreibungen, um den E-Mail-Empfänger dazu zu bringen, den Trojaner auszuführen. Die Kriminellen bedienen sich dabei der Daten, die sie aus Stellenbörsen nehmen. Ist die E-Mail-Adresse des Bestattungshauses angegeben, um Kontakt aufzunehmen, kommen Bewerbungsunterlagen per E-Mail ins Haus. Das E-Mail Anschreiben ist personalisiert. Der Geschäftsinhaber wird mit Namen angesprochen.

Auch wer längst weiß, dass Anhänge von E-Mails mit unbekanntem Absendern nicht geöffnet werden sollen, wird bei den vermeintlichen Bewerbungen diese Vorsichtsmaßnahme außer Acht lassen. Man hofft ja auf Bewerbungen und hat selbst dazu aufgefordert, dass Interessenten sich bewerben. Die Neugierde siegt. Finden wir endlich jemanden, der zu uns passt, der die Anforderungen erfüllt? Die Anschreiben sind in fehlerfreien Deutsch abgefasst, das meist besser ist als in manchem echten Bewerbungsschreiben.

Ein Klick, und die Schadsoftware installiert sich auf dem Rechner. Kurz darauf ist der Zugang zu den Daten blockiert. Ein Sperrbildschirm kündigt an, dass erst nach Zahlung einer bestimmten Summe, die Daten wieder freigeschaltet werden. Der Zahlung soll über Bitcoins oder Zahlungsdienste vorgenommen werden, bei denen der Empfänger anonym bleiben kann. Wer nicht auf ein aktuelles Backup der Dateien zurückgreifen kann, dem bleibt nur zu warten und zu hoffen, dass der Code hinter dem Schadprogramm geknackt wird, damit die Dateien wieder entschlüsselt werden können. Die Polizei rät ab, auf die Lösegeldforderung einzugehen. Der Druck auf ein Unternehmen, das nicht über eine aktuelle Datensicherung verfügt ist enorm. Der ganze Betrieb ist lahmgelegt. Nicht anders ist zu erklären, dass jährlich Millionen an die Erpresser gezahlt werden. Das macht deren “Geschäftsmodell” natürlich enorm attraktiv.

“Mir wird schon nichts passieren, ich habe doch einen Virenscanner installiert.”

Beliebteste Plattform für die Verbreitung von Ransomware ist Microsoft Windows. Da Windows weit verbreitet ist, besteht auf Windows-Rechnern das größte Infektionspotenzial. Virenschutzprogramme helfen nicht unbedingt, weil der Schädling seinen Schaden anrichten kann, bevor der Virenscanner aktualisiert ist. Der Virenscanner schlägt dann nicht an. Auf jeden Fall sollte die neueste Programmversion eingesetzt und Signaturupdates automatisch installiert werden. Zum Teil ist der Schutz vor Ransomware bereits in der Virenschutz- oder Backupsoftware enthalten. Hier müssen die entsprechenden Funktionen aktiviert sein. Diese Maßnahmen minimieren die Infektionsgefahr.

Die beste Software nützt manchmal nichts, wenn nicht auch die Person, die am PC sitzt sich "sicher" verhält. Wer hier an der Computerkompetenz seiner Mitarbeiterinnen und Mitarbeiter spart, verringert die IT-Sicherheit und riskiert Schäden. Letztlich ist es ein Mensch, der den entscheidenden Mausklick macht, mit dem sich Ransomware installieren kann. Man könnte natürlich alle Anhänge an eingehenden Mails pauschal blockieren. Aber dann sind halt alle Anhänge blockiert, nichts mehr kann geöffnet werden. Im Austausch von Informationen mit Angehörigen würde das die Arbeit massiv behindern.

Alle Schutzmaßnahmen zusammengefasst

  • Backups anlegen: Schon tausendmal gehört – aber immer noch die beste Methode, um dem Verlust von Daten vorzubeugen. Der Ärger über einen Erpressungstrojaner hält sich damit zumindest in Grenzen. Das Speichermedium für die Datensicherung sollte aber nicht dauerhaft an den Rechner angeschlossen sein, sonst wird es ebenfalls Opfer der Verschlüsselung.

  • Updates und Patches installieren: Jedes Programm auf dem Rechner bringt potenzielle Sicherheitslücken mit, die Malware-Programmierer ausnutzen. Deshalb ist es wichtig, stets alle Programme auf dem neusten Stand zu halten.

  • Nur E-Mails sowie E-Mail-Anhänge von bekannten Absendern öffnen: Bei elektronischer Post gibt es keinen hundertprozentigen Schutz. Immer wieder gelangen E-Mails unbekannter Absender vorbei am Spamfilter ins E-Mail-Postfach. Grundsätzlich sollten keine E-Mails und insbesondere keine Anhänge von unbekannten Absendern geöffnet werden. Doch was tun, wenn man Bewerbungsunterlagen als E-Mail-Anhang bekommt und reinschauen möchte? Dazu kann man den Absender einer E-Mail überprüfen. Ist eine Person mit diesem Namen und Kontaktdaten im Internet auffindbar? Auch ein Blick auf die Dateiendung des Anhangs hilft. Wenn eine Datei mit .asf, .exe, .avi, .scr, .zip, .rtf, .doc, .pif, .reg, .mov, .mpg, .bat oder .vbs endet, sollte das misstrauisch machen. Im zweifelsfrei ruft man den Absender an und verifiziert die Bewerbung durch diese Person.

  • Erweiterungen bei bekannten Dateitypen nicht ausblenden: Windows blendet standardmäßig bekannte Dateiendungen aus. Das kann zu Verwechslungen führen. Lautet der Dateiname zum Beispiel Dokument.pdf, ist "pdf" nicht die Dateiendung. Die eigentliche Dateiendung lautet vielleicht .exe, wird aber nicht angezeigt, da ausgeblendet. Die Datei könnte vollständig Dokument.pdf.exe heißen. Man meint eine PDF-Datei zu öffnen, in Wahrheit führt man ein Programm aus, das vermutlich eine Schadsoftware ist. Abhilfe schafft, in den Optionen des Windows-Explorers den Punkt "Erweiterungen bei bekannten Dateientypen ausblenden" zu deaktivieren, damit Windows den Dateinamen mit Dateiendung vollständig anzeigt.

Sind die Mitarbeiterinnen und Mitarbeiter ausreichend informiert und die Schutzmaßnahmen aktiviert, sollte der Weg frei sein, einen passenden Mitarbeiter, eine passende Mitarbeiterin zu finden.