Gegen Ende August 2022 erkl\u00e4rte der Autozulieferer Continental<\/a>, es habe einen „Cyber-Angriff“ gegeben. Doch man habe ihn erfolgreich abgewehrt, alles w\u00e4re unter Kontrolle. Wenig sp\u00e4ter wurde jedoch bekannt: Der Angriff verlief offenbar erfolgreich<\/a>, sodass die T\u00e4ter 40 Terrabyte interner Daten stehlen konnten. Continental wird mit einer Forderung von 50 Millionen US-Dollar erpresst<\/a>.<\/p>\n Die Metro-AG ist ein Gro\u00dfmarkt mit rund 95.000 Mitarbeitern. Sie wurde im Oktober 2022 erfolgreich angegriffen<\/a>, wodurch ein Teil der IT-Systeme ausfiel. Zwar kam es dadurch nicht zu leeren Regalen, doch der Betrieb wurde \u00fcber Wochen hinweg gest\u00f6rt<\/a>.<\/p>\n Ransom<\/strong> ist der englische Begriff f\u00fcr L\u00f6segeld, bzw. bezeichnet das „Loskaufen“ von gefangenen, w\u00e4hrend ware<\/strong> als Suffix f\u00fcr verschiedene Arten von Software genutzt wird – etwa Freeware<\/strong> f\u00fcr kostenfreie Programme. Bei Ransomware geht es also um Erpressung, teils auch um Diebstahl.<\/p>\n Heutzutage brechen die T\u00e4ter in fremde Systeme ein und verschl\u00fcsseln m\u00f6glichst viele wichtige Daten mit einem nur ihnen bekannten Passwort. F\u00fcr das Opfer sind seine Daten damit unbrauchbar. Unternehmen sind dadurch nicht selten teilweise oder sogar komplett lahm gelegt, wie das Beispiel Hipp im Oktober 2022 zeigte<\/a>: Der Hersteller von Babynahrung war per Telefon und E-Mail nicht erreichbar. Die Produktion stand still, zahlreiche Mitarbeiter wurden nach Hause geschickt.<\/p>\n Der erste bekannte Angriff ist deutlich \u00e4lter als der Autor dieses Beitrages: Eine 5,25 Zoll-Diskette mit dem Titel „AIDS Information“ wurde 1989 gezielt an ca. 20.000 Empf\u00e4nger versendet. Darauf befand sich ein in BASIC geschriebenes Programm, welches eine interaktive Datenbank rund um die Infektionskrankheit bieten soll. Unter den Empf\u00e4ngern sind \u00fcberwiegend \u00c4rzte, forschende und teils auch Interessierte aus dem IT-Bereich – alle au\u00dferhalb der USA. <\/p>\n Der Diskette lag ein Informationsblatt bei, laut dem man die Software kaufen muss: Entweder 189 US-Dollar f\u00fcr eine Jahreslizenz, oder 378 $ f\u00fcr eine dauerhafte, an die Lebensdauer der Festplatte gekoppelte Lizenz. Jeweils zahlbar per Scheck nach Panama. Auf dem Zettel wurde man sogar davor gewarnt, dass u.a. der PC nicht mehr richtig funktioniert, wenn man nicht bezahlt.<\/p>\n Auf ungef\u00e4hr 1.000 Computern in 90 L\u00e4ndern wurde dies ignoriert, sie waren infiziert – das entspricht einer Quote von etwa 5 Prozent. Dies muss man aber auch im zeitlichen Kontext sehen: In den sp\u00e4ten 1980er Jahren war Aids eine noch wenig erforschte Krankheit. Zudem gab es das Internet noch l\u00e4ngst nicht in seiner heutigen Form. Das Perfide an dieser Datenbank: Der Erpressungstrojaner wurde nicht sofort aktiv. Erst 90 Bootvorg\u00e4nge nach der Programminstallation verschl\u00fcsselte er alle Daten auf der Systempartition C: und zeigte beim Computerstart eine rote Warnmeldung, die zur Zahlung aufforderte – danach sollte man eine zweite Diskette bekommen, um den Computer wieder nutzbar zu machen.<\/p>\n Sowohl Computer als auch die auf C: liegenden Daten wurden unbrauchbar – zumindest auf den ersten Blick. Denn das Schadprogramm war recht simpel aufgebaut: Es „verschl\u00fcsselte“ beispielsweise gar nicht die Inhalte der Dateien selbst, sondern nur deren Name. Wobei „verschl\u00fcsseln“ fast schon \u00fcbertrieben ist: Die Zeichen wurden mit einer einfachen Tabelle gegen andere ersetzt. Anfang 1990 ver\u00f6ffentlichten Sicherheitsforscher wie Jim Bates daher Programme, welche alle \u00c4nderungen der „AIDS“ Ransomware komplett r\u00fcckg\u00e4ngig machen konnten.<\/p>\n Dennoch kam es zu einer Reihe an Sch\u00e4den, weil falsch oder panisch reagiert wurde: Eine Aids-Forschungseinrichtung aus Italien beklagt, dass 10 Jahre an Forschungsarbeit zerst\u00f6rt wurden. Auch Entlassungen der IT-Administratoren waren zu verzeichnen. Schadsoftware war zu dieser Zeit noch sehr selten, dementsprechend gab es kaum Erfahrungen.<\/p>\n Der Fall stie\u00df auf gro\u00dfes Medieninteresse und l\u00f6ste die bis dahin gr\u00f6\u00dften Ermittlungen im Bereich der Computerkriminalit\u00e4t aus, an denen etwa 20 L\u00e4nder beteiligt waren. Doch er wurde bis heute nicht vollst\u00e4ndig aufgekl\u00e4rt: Der amerikanische, in Harvard ausgebildete Evolutionsbiologen Dr. Joseph Lewis Popp gilt als Verantwortlicher, nachdem bei ihm der komplette Quellcode gefunden wurde. Er gab die Verbreitung zu, soll jedoch kein Geld damit verdient haben – sondern wollte laut eigener Aussage lediglich \u00fcber Aids aufkl\u00e4ren. Wie die Lizenzforderung und Ransomware in sein Programm gekommen ist, k\u00f6nne er sich nicht erkl\u00e4ren<\/a>. Der Mann hatte psychische Probleme und galt als selbstmordgef\u00e4hrdet. <\/p>\n Popp wurde nach Gro\u00dfbritannien ausgeliefert. W\u00e4hrend der Verhandlungen \u00e4u\u00dferte er wirre Dinge: Die Direktoren der PC Cyborg Corporation<\/em> sollen beispielsweise alle f\u00fcr die Weltgesundheitsorganisation (WHO) arbeiten. Im Name der PC Cyborg Corporation<\/em> wurden seine Disketten angeboten. Die WHO wies diese Behauptungen jedoch als Falsch zur\u00fcck. im Gef\u00e4ngnis verschlechterte sich sein bereits zuvor instabiler Zustand zunehmend, er litt unter Wahnvorstellungen und seine psychischen Probleme kamen zum Vorschein. Das Verfahren wurde daher wegen Verhandlungsunf\u00e4higkeit eingestellt.<\/p>\n Ob es Komplizen gab, ist unbekannt – allerdings durchaus wahrscheinlich: Popp wurde 1990 verhaftet, weil er sich am Flughafen bei der R\u00fcckreise in die USA von einem WHO-Vortrag \u00e4u\u00dferst verd\u00e4chtig verhielt: Er soll „DR. POPP HAS BEEN POISONED“ (Dr. Popp ist vergiftet worden) auf die Tasche eines Mitreisenden geschrieben haben. Laut Aussage eines FBI-Sprechers hatte er geplant, zwei Millionen weitere Disketten zu verschicken. <\/p>\n Sowohl der personelle als auch finanzielle Aufwand mussten bereits f\u00fcr die 20.000 Exemplare erheblich gewesen sein: Sch\u00e4tzungen belaufen sich auf \u00fcber 20.000 Pfund Kosten. Wenn nur ein Prozent der Empf\u00e4nger (200 Personen) die Mindestsumme von 189 US-Dollar bezahlt haben, f\u00fchrte dies zu knapp 38.000 US-Dollar an Einnahmen. Zumindest theoretisch war Ransomware also bereits damals ein Gesch\u00e4ft.<\/p>\n Die heutigen Motive f\u00fcr Ransomware und andere Schadsoftware sind simpel: Fast immer geht es entweder um Geld, oder politischen Einfluss. Wesentlich wirrer ist dagegen die Geschichte von Dr. Popp.<\/p>\n W\u00e4hrend Dr. Popp selbst behauptete, nichts mit den sch\u00e4dlichen Teilen seiner Aids-Datenbank zu tun zu haben, zeigen von der Polizei sichergestellte Beweise ein anderes Bild: Laut eines digitalen Tagebuches hatte er seine Tat \u00fcber mehr als 1,5 Jahre geplant. Vor Gericht verk\u00fcndeten seine Anw\u00e4lte sp\u00e4ter, es sei geplant gewesen, alle Einnahmen f\u00fcr Aids-Aufkl\u00e4rungsprogramme zu spenden. Es gibt zahlreiche Verschw\u00f6rungstheorien und Mythen, ob er psychisch Krank war und tats\u00e4chlich alleine handelte. Oder aber ob es Mitt\u00e4ter gab, die ihn mit seiner psychischen Verfassung als Strohmann ausnutzten. Faktisch ist nicht bekannt, ob Popp die Schadsoftware selbst geschrieben hat, da er dazu keine Angaben gemacht hat.<\/p>\n Der „AIDS-Trojaner“ verschwand \u00e4hnlich \u00fcberraschend wieder, wie er gekommen war: Nach seiner Freilassung gibt es keine bekannten Verbindungen mit Dr. Popp zu Schadsoftware. Er forschte weiter in seinem Gebiet der Evolutionsbiologie, schrieb ein Buch und gr\u00fcndete zusammen mit seiner Tochter das The Joseph L. Popp, Jr. Butterfly Conservatory<\/em> Schmetterlingshaus in New York. Im Jahr 2006 kam der Biologe bei einem Autounfall im Alter von 55 Jahren ums Leben. Was ihn zu seiner Tat trieb und wer m\u00f6glicherweise involviert war, hat er also mit ins Grab genommen.<\/p>\n Obwohl der „AIDS-Trojaner“ 2022 bereits stolze 33 Jahre alt ist, weist er viele Merkmale auf, die seit Jahren zahlreichen Unternehmen zum Verh\u00e4ngnis wurden und weiterhin werden: <\/p>\n Im Gegensatz zu vieler neuerer Ransomware handelte es sich hier tats\u00e4chlich um einen Tojaner: Dieser zeichnet sich durch einen n\u00fctzlichen, erw\u00fcnschten Teil aus, der mit Schadsoftware verseucht wird. In diesem Falle war es die Aids-Datenbank des Biologe. Heute \u00fcbliche Ransomware besteht oft nur aus dem Schadprogramm, weshalb die Bezeichnung als Trojaner<\/em> daf\u00fcr technisch falsch ist. <\/p>\n Die Branche w\u00e4chst seit Jahren: Alleine im Zeitraum von 2017 bis 2021 stieg der verursachte Schaden von 5 Milliarden US-Dollar auf 20 Milliarden, also um Faktor 4 in wenigen Jahren. Ein Ende ist nicht in Sicht. Wahrscheinlich werden wir also auch 2022 einige erfolgreiche Angriffe erleben, mit den daraus resultierenden Folgen.<\/p>\nWas ist Ransomware?<\/h2>\n
Wie ein Biologe die IT-Welt mit der ersten Ransomware \u00fcberaschte<\/h2>\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/12\/AIDS_Information_Introductory_Diskette_Version_2_0_kopiera.jpg\")
<\/a>![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/12\/grafik-3.png\")
<\/a>Wer steckt hinter der Angriffswelle?<\/h2>\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/12\/aids-trojaner-diskette.jpg\")
<\/a>Warum schuf Dr. Popp die erste Ransomware?<\/h2>\n
So fortschrittlich war der „AIDS-Trojaner“ bereits in den sp\u00e4ten 80ern<\/h2>\n
\n
Ransomware heute und in der Zukunft<\/h2>\n
![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2022\/12\/grafik-4-1024x854.png\")
<\/a><\/figure>\n<\/div>\n