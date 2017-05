Die Erpressungssoftware «Wanna Cry »hat sich zu Beginn der Arbeitswoche we­niger verbreitet, als die Ermittlungsbe­hörden prophezeit hatten. «Wir können aber nur leichte Entwarnung geben», sagte Europol-Sprecherin Claire Georges auf Anfrage, «wir rechnen damit, dass die Cyber-Kriminellen an einer neuen Version des Trojaners arbeiten.» Der Angriff sei noch nicht ausgestanden.

Was nicht abgeebbt ist, sind die Lösegeldzahlungen auf die Konten der Cyber-Kriminellen. Im Gegenteil. Sie haben in der Kadenz gar zugenommen. Das zeigt eine Analyse von drei verdächtigen Konten der Digitalwährung Bitcoin. Von Freitag bis heute Morgen haben 241 Computer-Nutzer das Lösegeld bezahlt; insgesamt bisher rund 60'000 Franken. Rund die Hälfte der Zahlungen erfolgte in den letzten 12 Stunden.

Angesichts des weltweiten Ausmasses des Angriffs eine geringe Ausbeute. Dennoch machen die Zahlungen Europol und der Schweizer Melde- und Analysestelle Informationssicherung (Melani) Kopfzerbrechen. Es ist damit zu rechnen, dass die Lösegeldzahlungen weitergehen und Nachahmungstäter provozieren.

Ein paar Dutzend Fälle in der Schweiz

Die Strategie der Cyber-Kriminellen scheint aufzugehen: Die schädliche Software nistet sich auf Geräten mit dem veralteten Windows-Betriebssystems XP ein, verschlüsselt Daten und verlangt vom jeweiligen Benutzer einen Betrag zwischen umgerechnet 300 und 600 Franken für die Datenfreigabe. Bei solchen geringen Beträgen ist die Hemmschwelle, zu bezahlen, sehr tief.

Betroffen sind nach Angaben von Europol 200'000 Firmen, Institutionen und Privatpersonen in 150 Ländern. Am meisten Geräte wurden offenbar in Russland befallen; auch viele Spitäler in Grossbritannien, die über besonders heikle Daten verfügen, leiden unter dem Angriff. Für die Schweiz liegen derzeit keine konkreten Zahlen vor. Die Melani spricht von ein paar Dutzend Fällen. Grossunternehmen seien nicht darunter. Max Klaus, stellvertretender Leiter der Melani, sagt: «Wer das Virus hat, soll auf keinen Fall zahlen. Es gibt keine Garantie, dass man danach wieder Zugriff auf Dokumente oder Bilder hat.»

Die Cyber-Kriminellen sind allerdings gewiefter, als die Melani annimmt. Auch das zeigen die Transaktionsdaten bei ­Bitcoin. Viele der Konten, die Lösegeld zahlen, sind wiederkehrend. Ein Hinweis darauf, dass Daten nach der Überweisung tatsächlich wieder zugänglich gemacht werden. Das bestätigt auch die Firma Bitcoin Suisse AG anhand eines konkreten Falls. Die Firma mit Sitz in Baar ist eine Bit­coin-Wechselstube. Sie tauscht heute einen Bitcoin gegen 1700 Schweizer Franken. «Am Wochenende musste wir für ein KMU eine Lösegeldforderung abwickeln», sagte ein Firmensprecher auf Anfrage. Danach hätten alle Mitarbeiter wieder Zugriff auf ihre Daten gehabt.

Bitcoin ist wie Bargeld

Wie ist es möglich, Geld auf ein Konto einzuzahlen, ohne den Empfänger zu kennen? Das liegt in der Natur der Blockchain-Technologie, auf die Bitcoin beruht. Die Software dahinter ist genial. Bitcoin erlaubt es jedem, ein virtuelles Bankkonto zu eröffnen und dabei komplett anonym zu bleiben. Die Digitalwährung ist somit vergleichbar mit Bargeld; es kann für ganz legale Geschäfte eingesetzt werden – in der Schweiz akzeptieren beispiesweise schon Zahnärzte die Währung oder diverse Zürcher Cafés –, aber auch für Waffenhandel oder eben Lösegeldforderungen, weil die Spuren beim Handwechsel nicht eindeutig zurückverfolgt werden können.

Vereinfacht erklärt, funktioniert das System folgendermassen: Jede Bitcoin-Transaktion wird in eine öffentliche Liste eingetragen. So kann in einem ­gigantischen Logbuch dokumentiert werden, wie die Bitcoins weltweit verteilt sind. Dieses Logbuch übernimmt im Grunde die Rolle der Banken. Identische Versionen dieser Liste sind auf Tausenden Com­putern weltweit verteilt. Wenn also ein Spital Cyber-Kriminellen Geld überweisen will, wird die Transaktion in dieses Logbuch eingetragen. Etwa: «300 Franken für das Konto XYZ.» Sobald die Mehrheit der Logbücher die Transaktionen eingetragen haben, gilt sie als bestätigt. Wer hinter einem Konto steckt, braucht nie jemand zu erfahren.

Die Ermittler müssen auf einen Fehler der Hacker hoffen

Ganz chancenlos hinter die Urheber des WannaCry-Virus zu kommen, sind die ermittelnden Behörden trotzdem nicht. Die Hacker brauchen nur einen kleinen Fehler bei der Bezahlung mit ­Bitcoin zu machen, und Europol kann sie identifizieren. Zum Beispiel, wenn die Hacker von einem der Lösegeld­konten ihre Bitcoins direkt gegen Schweizer Franken einzutauschen versuchen. «Wenn das geschieht, müssen sich die Gangster gegenüber der Tauschbörse identifizieren», sagt Europol-Sprecherin Claire Georges.

Für Europol heisst es also: Abwarten und Tee trinken, bis die Datengeisel­nehmer einen Fehler machen. In der Zwischenzeit können Ermittler nur zu­sehen, wie die Cyber-Kriminellen ihre virtuellen Lösegelder anhäufen. (Tages-Anzeiger)