Magdeburg l Als am 30. August der Mitarbeiter der SPD-Fraktion im Landtag den Anhang einer fingierten E-Mail öffnet, sind weder das Sicherungssystem noch die Anti-Viren-Software des Netzwerkes darauf vorbereitet. Eine neue Version des Erpressungs-Trojaners „Locky“ verschlüsselt in nur wenigen Sekunden Computer und Teile des Netzwerkes. Trotz schneller Reaktion auf den Cyberangriff wird der Landtag zumindest elektronisch für mehrere Tage außer Gefecht gesetzt sein. Ein Notbetrieb muss eingerichtet werden.

Anti-Viren-Firma kannte neuen Trojaner

Noch am gleichen Tag machen sich die Experten des Cybercrime Competence Centers (4C) des Landeskriminalamtes (LKA) an die Arbeit und isolieren die Daten des „Erpressers“. Die Analysen der Ermittler ergeben sehr schnell, dass es sich zwar nicht um einen gezielten Angriff, aber um einen „Erpresser-Neuling“ handeln muss.

Die Version des seit 2016 bekannten Erpresser-Trojaners „Locky“ ist zu diesem Zeitpunkt gerade erst sechs Stunden alt. „Nur ein Anti-Virenhersteller kannte diesen Trojaner zu diesem Zeitpunkt überhaupt“, erklärt später LKA-Sprecher Andreas von Koß.

Aus diesem Grund schicken die Cyber-Experten den isloierten „Schädling“ an einen großen Hersteller für Anti-Viren-Programme, um ihn in die Datenbank aufzunehmen. Andreas von Koß: „Mit einem entsprechenden Update des neuen Virenprogrammes war es dann möglich, sämtliche Netzwerke, Rechner und Laufwerke im Landtag zu prüfen und zu bereinigen.“

Die weiteren Untersuchungen des Codes des Mini-Programms führen die Ermittler zu Verteilungsquellen in Polen und in den USA. Das Landeskriminalamt nimmt, wie in solchen Fällen üblich, Kontakt mit dem BSI auf. Die Abkürzung steht für Bundesamt für Sicherheit in der Informationstechnik. Dieses wiederum informiert und warnt die internationalen Behörden vor der neuen Trojaner-Version. Die Informationen aus Sachsen-Anhalt führen schließlich zum Abschalten der Verteilerquellen. „Die weitere Verbreitung des Virus konnte somit rechtzeitig eingedämmt werden“, erklärt der LKA-Sprecher. Der Erfolg sei vor allem auf das rechtzeitige informieren der Cyber-Ermittler zurückzuführen. Andreas von Koß: „Das passiert leider noch zu selten.“

Kein gezielter Angriff auf den Landtag

Die Ermittler sind sich auch sicher: Dass es den Landtag traf, ist reiner Zufall. Die Mails werden in Massen verschickt. Im konkreten Fall nutzten die Ganoven eine sogenannte Spoof-Mail. Sie gaukelt dem Empfänger einen seriösen Absender vor: Der betreffende SPD-Mitarbeiter glaubte sogar, sie sogar von seinem eigenen privaten Account zu bekommen.

Die Höhe der Erpressungssumme bei dem Landtagstrojaner ist übrigens nie bekannt geworden. Mit der Infektion und dem Sperren des Rechners ploppte zwar ein Schriftfeld auf, dass der Rechner gesperrt ist. Für eine Handlungsanweisung zum Freischalten der Daten hätte aber ein Link betätigt werden müssen. Dies unterblieb aber aus Sicherheitsgründen.

Bei den Vorgängerversionen von „Locky“ lag die Lösegeldsumme bisher immer im unteren vierstelligen Bereich. Die Ermittlungen im Landtags-Fall dauern noch an. „Ob auch die ausländischen Behörden mit eingebunden werden können, wird noch geprüft“, sagt von Koß.

2016 registrierte das LKA 3054 Fälle von Cyber-Kriminalität. 432 Angriffe wurden vom Ausland aus begangen. Die Zahlen stiegen in den vergangenen fünf Jahren auf das doppelte an.2017 wird erstmals wieder mit einem leichten Rückgang gerechnet.