Eine Dachdecker-Firma erhält auf eine Stellenanzeige eine Bewerbung. Doch die ist keineswegs seriös.

- Persönliche Anrede, einwandfreies Deutsch, ein passender Text – nichts an diesem Bewerbungsschreiben eines gewissen Paul Koch, das ein Leonberger Dachdecker-Betrieb vergangene Woche erhalten hat, ließ auf eine böswillige Absicht schließen. Doch hinter dem Link in der per E-Mail versandten Bewerbung verbargen sich nicht etwa Lebenslauf und Zeugnisse, sondern ein Trojaner. Ein Computervirus, das sich prompt auf den Betriebsrechner lud und sämtliche Dokumente verschlüsselte, fortan den Zugriff darauf verhinderte. Ein Totenkopf aus Programmier-Zeichen blendete sich ein und darunter erschien die Nachricht: Erst wenn eine Art Lösegeld gezahlt worden sei, würden die Daten wieder freigegeben.

 

Den Vorfall hat der Handwerksmeister der Polizei gemeldet, ebenso seinem Dachverband. „Dort waren ebenfalls schon zwei Fälle mitgeteilt worden“, erzählt er. Nun hat er sich an unsere Zeitung gewandt, um andere Firmeninhaber vor dem Lösegeld-Trojaner zu warnen. „Die Bewerbung war gut geschrieben. Da war sogar ein Foto eines lächelnden jungen Mannes in der E-Mail“, berichtet der Dachdecker. Er zeigt eine Kopie der E-Mail. In der Tat: Kein Komma sitzt falsch, keine merkwürdigen Formulierungen aus Übersetzungsprogrammen. Nur der Text gibt keinerlei Rückschlüsse auf Persönliches oder gar die Branche, für die sich beworben wird.

Das Polizeipräsidium Ludwigsburg verweist auf Nachfrage direkt an das Landeskriminalamt. Dort gibt es eine Zentrale Ansprechstelle Cybercrime (ZAC), die sich um Fälle von Betrug und Erpressung im Internet wie im vorliegenden Fall kümmert. „Seit Mitte Februar verzeichnen wir verstärkt Fälle eines Locky-Trojaners. Seit März auch gehäuft bei Fällen, in denen Bewerbungen verschickt wurden“, erklärt der Pressesprecher Ulrich Heffner. Dieser Trojaner ist als „Petya“ bekannt. Das LKA spricht von einer „bundesweiten Welle“. Allein in Baden-Württemberg sind derzeit 140 Fälle bekannt – und das sind nur die offiziellen Anzeigen. Das Vorgehen entspricht jeweils dem im Leonberger Fall.

Die angeblichen Bewerber erklären der Geschäftsführung, wie sie auf das Unternehmen aufmerksam geworden sind und bieten weitere Informationen zu ihrer Person über eine in der E-Mail enthaltene „Dropbox-Verknüpfung“ an. Dropbox ist ein internetbasierter Datenspeicher. Beim Betätigen dieses Links erfolgt jedoch keineswegs der Download der in Aussicht gestellten Bewerberunterlagen. Vielmehr installiert sich eine Schadsoftware, die unmittelbar mit der Verschlüsselung der Firmendaten auf dem Computer beginnt.

Bemerkenswert dabei ist, dass die angeschriebenen Unternehmen tatsächlich Stellen öffentlich ausgeschrieben haben. Falls die Masche erfolgreich ist, solle die Firma keinesfalls auf die Erpressung eingehen und für die Freischaltung mittels Bitcoins, einer Internet-Währung, zahlen. „In aller Regel werden die Daten trotz Zahlung nicht entsperrt“, sagt der LKA-Sprecher.

Unternehmen könnten sich am besten schützen, in dem sie ihre Anti-Viren-Software immer auf dem aktuellsten Stand halten und regelmäßig separate Back-Ups der Firmendaten abspeichern. „Sie sollten auch ihre Mitarbeiter auf solche Fälle hinweisen“, erklärt Heffner.

Nur ein kleiner Trost ist es für den Leonberger Dachdecker-Meister, dass er in dieser Hinsicht vorgesorgt hat. „Wir machen regelmäßig zwei Back-Ups unserer Daten“, berichtet er. So fehlt ihm nach derzeitigem Stand nur eine kurze Zeitspanne in den Aufzeichnungen. Erleichtert ist der Handwerker darüber, dass der Lösegeld-Trojaner die Firmendaten nicht abgreift, sondern lediglich verschlüsselt. Informationen über Kunden oder Mitarbeiter landen somit nicht im Netz.