Golden Eye: Trojaner attackiert Chefs

Allgäuer Zeitung – Angriff betrifft Allgäuer Unternehmen. Wie das Schadprogramm gezielt Schwachstellen von Personalabteilungen nutzt, welche Folgen das hat und wie man sich schützt.

Der Angriff begann am Dienstag, der Chef des Allgäuer Handwerksbetriebs war nicht vorbereitet. Denn es schien alles zu stimmen: Die E-Mail war namentlich an den 56-Jährigen adressiert, sah professionell aus und bezog sich auf eine Stelle, die sein Unternehmen tatsächlich zu vergeben hat. Der Klick aufs Bewerberprofil allerdings hatte es in sich. Der Kemptener ist einer Erpresser-Mail aufgesessen, ein Schadprogramm verschlüsselte binnen Minuten sämtliche Firmendaten der vergangenen Monate. Golden Eye heißt der Internettrojaner, dessen Name sich an einen James-Bond-Film anlehnt und in ganz Deutschland Firmen und Verwaltungen lahmlegt und um Geld erpresst – auch im Allgäu.

Ein Dutzend Strafanzeigen sind mittlerweile beim Polizeipräsidium Schwaben Süd/West eingegangen. Bevorzugte Opfer: Personalabteilungen, Firmenchefs und Mitarbeiter mit weitreichenden Befugnissen, sagt Markus Trinler, technischer Leiter des Kemptener IT-Unternehmens Idkom. Auch dessen Personalabteilung hat Golden Eye bekommen, die Geistesgegenwart einer Mitarbeiterin jedoch hat Schaden verhindern können. Zusätzlich warnen neuerdings auch die Arbeitsagenturen. Golden Eye nutzt nämlich deren Logo und greift gezielt auf Stellenangebote zurück, die bei der Behörde hinterlegt waren.

Wie konnte das geschehen? Diese Frage stellt sich auch IT-Experte Trinler. Zwar verweist die Bundesagentur darauf, dass die E-Mails gefälscht sind und die Behörde in keinem Zusammenhang mit ihnen stehe, gleichwohl: Unter Experten kursiere die Vermutung, dass die Daten irgendwo zwischen Behörde und externen Partnerfirmen von Hackern abgefangen worden sein könnten. Auffällig sei, wie passgenau die Angreifer ihre Opfer aussuchen, sagt Trinler: Ansprechpartner, Anrede, Firmenadresse – bei den Golden-Eye-Mails stimme alles.

Haben die Täter vielleicht mit spezialisierten Computerprogrammen – sogenannten Crawlern – auf Jobportalen im Internet Daten abgegriffen? Oder ist es ihnen tatsächlich gelungen, Firmen, deren Datenbanken und Kundenstämme direkt zu hacken? Während die Experten noch nach Antworten dafür suchen, sind die Auswirkungen von Golden Eye mittlerweile bekannt: Wo der Trojaner wütet, sind Daten unbrauchbar. Die Opfer sollen über anonyme Netzwerke und das für illegale Geschäfte und Internetverbrechen beliebte „Darknet“ zum Zahlen gezwungen werden.

Mit einem Klick in Erpresserhand: Markus Trinler, technischer Leiter des Kemptener IT-Unternehmens Idkom, führt vor, wie das Schadprogramm Golden Eye funktioniert. Durchs Anklicken des Mailanhangs (oben rechts) löst der Trojaner aus, der dann die Kontrolle übernimmt und Totenkopf und Erpressernachricht erscheinen lässt (unten).

Fotos: Martina Diemand

Idkom hat den Trojaner isoliert. In einem Besprechungszimmer im Obergeschoss der Kemptener Niederlassung führt Trinler vor, wie er funktioniert: Ein Klick auf den E-Mail-Anhang genügt. Dann wird der Bildschirm schwarz, der Rechner stürzt ab. Beim Wiedereinschalten werden angeblich die Festplatten geprüft – in Wahrheit arbeitet längst der Trojaner. Dann erscheinen Totenkopfmuster und Erpressernachricht: Golden Eye hat endgültig die Macht über den verseuchten
Rechner übernommen.

Ein Gegenmittel? Bislang nicht programmiert, sagt Trinler und rät:
● Firmendaten regelmäßig und gut sichern (Back-ups)
● Derzeit Finger weg von möglicherweise verseuchten Mails
● Makros deaktivieren (es handelt sich um gefährdete Unterprogramme)
● Verseuchte Geräte austauschen
● Virenschutz/Firewall aktualisieren
● Fälle bei der Polizei anzeigen.

von Stefanie Heckel