Ein solcher mit dem verniedlichenden Namen "Locky" treibt seit einigen Wochen weltweit sein Unwesen und verbreitet sich rasant [1]. Er kommt zumeist als E-Mail daher, verschlüsselt aber, einmal losgelassen, den Inhalt aller Festplatten und verlangt dann ein "Lösegeld" für die Entschlüsselung. In betroffenen Arztpraxen wurden so auch die Datenbanken der Praxissoftware mit allen Patienten- und Abrechnungsdaten gekidnappt. "Das Virus hat in kurzer Zeit unsere Daten verschlüsselt und das Netzwerk lahmgelegt", klagt ein betroffener Praxisinhaber aus Bayern. Die Kosten für das Neuaufsetzen der betroffenen Rechner und den Praxisausfall schätzt er auf etwa 10.000 Euro [2].

Verdächtig ist, was nicht bestellt wurde

Dabei kann man sich wirksam gegen solche Schädlinge schützen, indem man auf den Rat der Kassandra hört. Denn ein Trojaner wie "Locky" arbeitet genauso wie das hölzerne Pferd des Odysseus. Der erste Schritt des Angriffs ist, vor die Tore der Stadt zu gelangen, also auf den Rechner des Opfers. Dazu verleiht man dem Trojaner ein unauffälliges Aussehen, das keinen Verdacht erregen soll – häufig eine E-Mail mit einer angehängten Datei, die angeblich eine Rechnung darstellt. An dieser Stelle hätten sich die Trojaner eigentlich doch mal fragen sollen, wer ihnen ein überdimensionales Holzpferd vor die Tür stellt, obwohl sie keines geordert hatten. Findet man eine Mail mit einer angeblichen Rechnung im Postfach, dann sollte man einen Moment innehalten und überlegen, ob man überhaupt eine Rechnung per E-Mail erwartet. Hat man nichts bestellt, sollte man die Mail gleich löschen.

Ist man nicht sicher, sollte man nicht nur auf den Namen des Absenders schauen, sondern auch einen Blick auf dessen E-Mail-Adresse werfen. Eine Absenderadresse wie "stalex89@gmail.com" oder "hattie30@pol.ir" wird mit Sicherheit nicht von einem seriösen Unternehmen verwendet – die Endung ".ir" besagt beispielsweise, dass der Absender im Iran sitzt [3]. Solche E-Mails sollte man gleich löschen. Aber auch eine seriöse Absenderadresse kann manipuliert sein [4]. Wenn Sie Zweifel haben, überprüfen Sie die Webseite des vermeintlichen Absenders, indem Sie im Webbrowser den Teil nach dem @-Zeichen eingeben. Dort muss eine Telefonnummer angegeben sein, unter der man nach der vermeintlichen Rechnung fragen kann.

Die Torwächter täuschen

Solange das Holzpferd mit den darin versteckten Kriegern nur vor dem geschlossenen Stadttor herumsteht, kann es keinen Schaden anrichten, genauso wenig wie eine verdächtige E-Mail, die im Postfach liegt. Um sein Unwesen treiben zu können, muss ein Trojaner wie "Locky" ein Computerprogramm aktiv ausführen. Das kann er aber nicht von selbst tun, denn die Betriebssysteme der Rechner haben genau für solche Fälle Sicherungen eingebaut, die verhindern, dass ein Programm von selbst ablaufen kann. Ein Programm muss immer von einem Computerbenutzer gestartet werden, etwa indem er zweimal mit der Maus auf ein Programm-Icon klickt. Bei unbekannten Programmen wird der Computer nachfragen, ob er diese wirklich ausführen soll. Der zweite und entscheidende Schritt eines Trojanerangriffs ist daher, die Torwächter zu täuschen, um das Holzpferd mit den versteckten Kriegern in die Stadt hineinzubekommen.

Eine Horde kriegerischer Griechen

Da ein ausführbares Computerprogramm nicht im Text der E-Mail selbst versteckt werden kann, muss es der E-Mail als Datei angehängt werden. Die Dateianhänge sind im Postfach sichtbar, und ihr Dateiname gibt am Ende an, um was es sich dabei handelt [5]. Endet der Dateiname beispielsweise auf ".exe", ".bat" oder ".app", handelt es sich um ein direkt ausführbares Programm – ein so offensichtlicher Angriff wie eine Horde kriegerischer Griechen, die mit Gebrüll vor den Stadtmauern von Troja erscheint. Da solche Dateien von den meisten Mailprogrammen und Virenscannern direkt erkannt und entfernt werden, greifen Trojaner wie "Locky" genau wie Odysseus zu einer List. Sie verstecken ihr schädliches Programm in einer unverdächtig erscheinenden Hülle, die aber zugleich technisch in der Lage sein muss, das Programm auszuführen.

Makros in Holzpferden

Als Holzpferd bieten sich Office-Dateien wie Word-Dokumente oder Excel-Tabellen sowie falsche Fax- oder Scanner-Benachrichtigungen an [6], die von den Mailprogrammen nicht sofort entfernt werden, zugleich aber erlauben, über sogenannte "Makros" Programme auszuführen. Bei Dateianhängen, die auf ".docx" oder ".xlsx" (mit und ohne "x") enden, ist Vorsicht geboten. Eine angebliche Rechnung, die in Form eines Word-Dokuments oder einer Excel-Tabelle daherkommt, ist mit Sicherheit keine Rechnung und verbirgt in ihrem Bauch höchstwahrscheinlich üblen Programmcode. Seriöse Unternehmen werden schon deswegen niemals eine Rechnung als Word-Dokument versenden, weil die vom Empfänger ja noch bearbeitet werden könnte. Auch solche Mails sollte man einfach löschen.

Fremde Office-Dateien zu öffnen wird man dennoch nicht komplett vermeiden können, denn ab und zu erhält man ja solche von Freunden oder Bekannten zur Bearbeitung. Man kann aber durch Setzen entsprechender Sicherheitseinstellungen verhindern, dass darin enthaltene, potentiell schädliche Makros ohne Benachrichtigung ausgeführt werden [7]. Wird man dann beim Öffnen eines Dokumentes gefragt, ob man Makros ausführen möchte, sollte man das nur dann erlauben, wenn man sich bezüglich deren Funktion wirklich ganz, ganz sicher ist. "Locky" & Co. täuschen hier, indem sie angeben, das Dokument sei mit einer "neueren Version von Office" erstellt worden und nur mit aktivierten Makros korrekt anzuzeigen [8].

Offene Tore in der Stadtmauer

Als weitere Schutzmaßnahme auch gegen Angriffe mit anderer Vorgehensweise sollte auf dem Rechner eine Firewall aktiviert sein. Diese schützt den Rechner vor unerwünschten Zugriffen aus dem Netzwerk, verschließt also offene Tore in der Stadtmauer. Im Fall von "Locky" kann dadurch beispielsweise verhindert werden, dass dieser den zur Datenverschlüsselung benötigten elektronischen Schlüssel von seinem Kontrollserver empfangen kann [9]. Und natürlich sollte es immer eine aktuelle Datensicherung geben – nicht nur von der Datenbank des Praxissystems, sondern auch von den unersetzlichen privaten Bildern, Videos und Dokumenten. Eine Datensicherung selbst schützt zwar nicht vor einem Trojaner, ermöglicht aber die Wiederherstellung der wichtigen Daten auch nach anderen Katastrophen wie einem Festplattendefekt oder dem Verlust des Rechners [10]. Das entspricht allerdings dem Wiederaufbau des bereits zerstörten Troja und sollte nur als allerletzter Schutzmechanismus angesehen werden.

Verschlüsselt in der Cloud

Eine weitere Sicherheitsmaßnahme ist das Speichern von Daten auf Servern, die in einem sicheren Rechenzentrum stehen. "Locky" ist zwar in der Lage, sich auch auf andere Rechner im gleichen Netzwerk auszubreiten, beispielsweise über verbundene Laufwerke. Datendiebstähle durch Festplattenverschlüsselungen wie bei "Locky" sind jedoch nur bei lokal gespeicherten Daten möglich. Daten, die in der Cloud abgelegt wurden, sind für solche Trojaner unerreichbar und damit sicher. Für die Nutzung von Cloud-Services gilt jedoch, dass dort keine Patientendaten im Klartext gespeichert werden dürfen. Eine Checkliste weiterer Sicherheitsmaßnahmen finden Sie auf den Internetseiten des Bundesamtes für die Sicherheit in der Informationstechnik (www.bsi-fuer-buerger.de) [11].

Leider gilt für das Internet das Gleiche wie für die reale Welt – auch dort gibt es Menschen mit schlechten Absichten. Daher gilt für das Verhalten im Internet im Grunde genommen das, was einem die Eltern als Kind beigebracht haben: Man lässt keine Fremden in die Wohnung, man nimmt keine Geschenke von Unbekannten an, man drückt nicht auf Knöpfe, von denen man nicht weiß, was sie auslösen, man lässt keine Schlüssel oder Kreditkarten offen herumliegen, man verrät seine Passwörter nicht. Leider geht es diesen Ratschlägen oft wie Kassandra – sie sehen das Unheil richtig voraus, aber niemand beachtet sie.