IT + Kommunikation -

Schadsoftware nimmt Daten in Geiselhaft Trojaner Petya: Tarnung als Bewerbungsschreiben

Schadsoftware kann ganze Betriebe lahmlegen. So auch der neue Trojaner Petya, der sich als Bewerbungsschreiben tarnt. Was Sie über Petya wissen müssen und wie man sich vor Trojanern schützt.

Schadsoftware und Trojaner können Betrieben erheblichen Schaden zufügen. So auch der neue Trojaner "Petya", der sich als Bewerbung tarnt. Dies bekam auch der SHK-Betrieb Allwartung aus München zu spüren.

Bewerbungen um eine Stelle gehen bei dem Handwerksbetrieb Allwartung regelmäßig ein. Schließlich wirbt das Münchener Unternehmen offensiv in diversen Print- und Online-Medien um die weniger werdenden Fachkräfte.

Nichts Böses ahnte ein Mitarbeiter der Firma deshalb, als er in Vertretung seine Chefs eine Bewerbung per E-Mail öffnete. Ein gewisser Andreas Richter empfahl sich als "leistungsbereiter Mitarbeiter" für eine Anstellung zum Sanitär- und Klimatechniker. Neuen Aufgaben wolle er sich mit "großer Motivation und vollem Einsatz" widmen, gerne würde er auch zuerst ein Praktikum absolvieren, damit man sich ein Bild von ihm machen könne. Auf eine Einladung zum persönlichen Gespräch freue er sich sehr.

Der Bewerber verwies am Ende seiner E-Mail auf einen Link zu einer Cloud, auf der er – angeblich wegen der Dateigröße – seinen Lebenslauf und ein Zwischenzeugnis seines bisherigen Arbeitgebers abgelegt habe.

Wie erkenne ich den Trojaner Petya?

Die Bewerbung hinterließ beim Personaler einen seriösen Eindruck, beinhaltete kaum Tippfehler und war auch sonst nicht weiter auffällig, so dass er nicht lange zögerte, den Link zu öffnen. Hinter den angeblichen Bewerbungsunterlagen verbarg sich jedoch eine .exe-Datei, die nach dem Anklicken die Installation einer Schadsoftware startete.

Der SHK-Betrieb ist einem Angriff von Internetkriminellen zum Opfer gefallen, die derzeit in großem Stil den als Bewerbung getarnten Trojaner "Petya" in Umlauf bringen. Ziel der Kriminellen ist es, ein Lösegeld von mehreren hundert Euro von ihren Opfern zu erpressen.

Petya verschlüsselt im ersten Schritt das Startprogramm des Computers. Zu diesem Zeitpunkt sind Datensicherungen auf externen Speichermedien noch möglich und das System kann mit Wiederherstellungsprogrammen gerettet werden.

Petya tarnt sich ale .exe-Datei

Im zweiten Schritt taucht jedoch ein blauer Bildschirm auf. Startet der Nutzer nun seinen Computer neu, wird das Dateisystem komplett verschlüsselt, so dass weder der Computer startet, noch Daten gesichert werden können. Spätestens wenn dann ein Totenkopfsymbol auf dem Bildschirm erscheint, ist klar, dass ein Cyberangriff stattgefunden hat.

Zu diesem Zeitpunkt beginnt der Erpressungsversuch der Kriminellen. In einer auf dem Bildschirm erscheinenden Meldung wird das Opfer dazu aufgefordert, das Lösegeld in Form der digitalen Währung Bitcoin zu überweisen. Der Kontoinhaber ist kaum nachverfolgbar. Im Gegenzug soll das Opfer einen Code zur Entschlüsselung seines PC erhalten.

Was sollte man tun, wenn wenn man sich den Trojaner eingefangen hat?

Martin Kreczy, Geschäftsführer von Allwartung, hat sich nicht erpressen lassen und kein Geld gezahlt. Die richtige Entscheidung, sagt Jürgen Schüler, Beauftragter für Innovation und Technologie am Heinz-Piest-Institut für Handwerkstechnik in Hannover. "Auf solche Lösegeldforderungen sollte man sich niemals einlassen", sagt er. Einerseits mache sich der Betrieb dadurch erpressbar, andererseits gäbe es keine Sicherheit dafür, dass der Entschlüsselungscode von den Verbrechern überhaupt geliefert ­würde.

Der SHK-Betrieb hatte Glück, dass sich das Schadprogramm nur lokal auf dem Rechner, aber nicht im Firmennetzwerk, ausgebreitet hat. Mit Hilfe eines EDV-Dienstleisters ließ sich der Computer neu aufsetzen. Der Schaden belief sich auf rund 1.000 Euro.

Nicht auf die Forderungen der Kriminellen eingehen

Auf dem infizierten PC befanden sich nur relativ unwichtige Dateien. Alle wichtigen Dokumente hat der Betrieb auf externen Laufwerken und zusätzlich bei einem Cloud-Dienst gesichert. Trotzdem will Firmeninhaber Kreczy vermeiden, dass sich so ein Vorfall wiederholt und womöglich größeren Schaden anrichtet. Zusätzliche Sicherungskopien sind in der Planung. Außerdem überlegt Kreczy, eine so genannte Cybercrime-Versicherung abzuschließen, die solche Schadensfälle abdeckt.

"Solch einem Datenangriff könnte jeder Handwerksbetrieb zum Opfer fallen", sagt Kreczy. Besonders in Zeiten, wo viele Betriebe händeringend Fachkräfte suchen, seien diese Bewerbungstrojaner sehr gefährlich.

Weiterbildungen zu Datensicherheit nutzen

Handwerker sollten sich auch nicht in Sicherheit wiegen, wenn IT-Profis Erfolgsmeldungen zu entschlüsselten Trojaner im Internet veröffentlichen. Die Entwickler des Trojaners Petya haben auf eine kürzlich gelungene Entschlüsselung schon reagiert und schicken mit ihren Bewerbungen nun gleich einen zweiten Trojaner namens "Mischa" mit.

IT-Experte Jürgen Schüler rät Handwerksunternehmen, sich stärker mit der Datensicherheit zu beschäftigen und externe Beratungsangebote in Anspruch zu nehmen. Zudem sollten Betriebe ihre Daten mehrfach sichern und diese Backups regelmäßig über die so genannte Logfile überprüfen. Cloud-Dienste hält Schüler nur für sinnvoll, wenn Handwerker auf die Daten über eine schnelle Internetverbindung zugreifen können. Weiterhin sollten Betriebe darauf achten, dass sich der Anbieter des Cloud-Dienstes in der EU befindet und damit ein mit Deutschland vergleichbares Datenschutzrecht gewährleistet ist.

"Oft wird die Bedeutung der IT-Sicherheit erst erkannt, wenn es schon zu spät ist", fasst Schüler zusammen.

So schützen Sie sich vor Schadsoftware

Tipps der Polizei Bayern, wie sich Betriebe vor Schadprogrammen wappnen können:

  • Öffnen Sie niemals ungeprüft Dateianhänge, ganz gleich ob es sich um scheinbar ungefährliche Dateien wie Bilder, Dokumente oder sonstige Dateien handelt. Wenn Sie sich unsicher sind, fragen Sie beim Absender nach. Gerade Banken schicken in der Regel keine elektronischen Nachrichten, ohne diese zuvor mit dem Kunden besprochen zu haben.
  • Klicken Sie niemals auf Links in unaufgefordert zugesandten E-Mails. Diese könnten Sie auf infizierte Webseiten leiten, die zu einem unbemerkten Download führen.
  • Seien Sie in sozialen Netzwerken kritisch mit dem Klick auf angeblich aufsehenerregende Videos oder andere Mitteilungen – auch wenn Ihnen diese von Freunden empfohlen wurden.
  • Installieren Sie regelmäßig die vom Hersteller bereitgestellten Sicherheitsupdates für Ihr Betriebssystem und aktualisieren Sie die von Ihnen installierten Programme (z.B. Browser, Flash Player, Adobe Reader) idealerweise über die Funktion "Automatische Updates".
  • Setzen Sie ein Virenschutzprogramm ein und aktualisieren Sie dieses regelmäßig.
  • Achten Sie darauf, dass Sie nicht mit Administratorenrechten im Internet unterwegs sind. Legen Sie sich einen „Benutzer“ mit Standardbenutzerrechten an und nutzen Sie diesen für das Surfen im Internet.
  • Sichern Sie Ihre Daten regelmäßig auf einem externen Medium, um Datenverluste möglichst gering zu halten.
Mehr zum Thema
© deutsche-handwerks-zeitung.de 2019 - Alle Rechte vorbehalten