Der Vorfall
Im Februar 2016 überrollte eine Welle an Ransomware-Infektionen Deutschland. Der Name: Locky. Auf dem Höhepunkt der Angriffswelle registrierte das BSI bis zu 17.000 Neuinfektionen pro Tag allein in Deutschland. Weltweit waren es zeitweise über 100.000 Infektionen täglich.
Das Fraunhofer-Institut in Bayreuth wurde getroffen. Das Lukaskrankenhaus in Neuss musste in den Notbetrieb wechseln – Operationen wurden verschoben, die Notaufnahme zeitweise abgemeldet. Hunderte kleine und mittlere Unternehmen verloren ihre Daten. Anwaltskanzleien, Arztpraxen, Handwerksbetriebe, Steuerberater – Locky traf die breite Masse.
Die Erpresserforderung war vergleichsweise moderat: 0,5 bis 1 Bitcoin, damals umgerechnet etwa 200 bis 400 Euro. Doch die Masse machte es: Bei geschätzt hunderttausenden Infektionen weltweit kamen Millionen zusammen. Und für ein kleines Unternehmen ohne Backup war die Alternative – der Verlust aller Geschäftsdaten – schlimmer als die Zahlung.
Besonders perfide: Locky verschlüsselte nicht nur lokale Dateien, sondern auch Netzlaufwerke und angeschlossene USB-Speicher. In Unternehmen, deren Backup auf einem ständig verbundenen Netzlaufwerk lag, wurde auch das Backup verschlüsselt. Eine Katastrophe ohne Rettung.
Das BSI gab Sonderwarnungen heraus. Die Polizei warnte öffentlich. Nachrichtenmedien berichteten täglich. Trotzdem stiegen die Infektionszahlen wochenlang weiter an. Locky zeigte der breiten Öffentlichkeit zum ersten Mal, wie verwundbar die digitale Arbeitswelt ist.
Wie der Angriff funktionierte
Locky setzte auf einen Angriffsvektor, der erschreckend simpel und erschreckend effektiv war: gefälschte Rechnungen per E-Mail mit Word-Makros.
Stufe 1 – Die Phishing-Mail: Du erhältst eine E-Mail mit dem Betreff „Rechnung Nr. 2016-0847" oder „Ihre Bestellung – Zahlungsaufforderung". Im Anhang: ein Word-Dokument, angeblich die detaillierte Rechnung. Die E-Mails waren in fehlerfreiem Deutsch verfasst – ein Unterschied zu früheren Spam-Wellen, die oft an schlechter Grammatik erkennbar waren.
Stufe 2 – Das Word-Makro als Dropper: Wenn Du das Word-Dokument öffnest, siehst Du zunächst nur eine Aufforderung: „Aktivieren Sie Makros, um den Inhalt korrekt anzuzeigen." Viele Nutzer folgten dieser Anweisung, weil sie die vermeintliche Rechnung lesen wollten. Das Makro war der Dropper – ein kleines Skript, das den eigentlichen Schadcode aus dem Internet nachlud.
Stufe 3 – Nachladen des Payloads: Das Makro kontaktierte einen oder mehrere von hunderten Command-and-Control-Servern und lud die eigentliche Locky-Ransomware herunter. Diese wurde als ausführbare Datei im temporären Verzeichnis abgelegt und gestartet. Der Dropper selbst war winzig und enthielt keinen offensichtlichen Schadcode – er lud nur eine Datei herunter und führte sie aus.
Stufe 4 – Verschlüsselung: Locky begann sofort mit der Verschlüsselung. Es durchsuchte systematisch alle Laufwerke – lokal, Netzwerk, USB – nach Dateien mit bestimmten Endungen: Dokumente, Bilder, Datenbanken, Archive. Jede Datei wurde mit AES-128 verschlüsselt und in .locky umbenannt. Der AES-Schlüssel wurde mit RSA-2048 verschlüsselt und an den C2-Server übermittelt. Anschließend löschte Locky die Windows-Schattenkopien, um eine Wiederherstellung über Bordmittel zu verhindern.
Auf dem Desktop erschien die Erpressernachricht – in der Sprache des Betriebssystems, also auf Deutsch für deutsche Opfer – mit einer Anleitung zum Kauf von Bitcoin und zur Zahlung des Lösegelds.
Warum Virenscanner versagten
Locky war ein Paradebeispiel für die Schwächen signaturbasierter Erkennung:
Serverseitiger Polymorphismus: Die Locky-Infrastruktur lieferte bei jedem Download eine leicht veränderte Version der Ransomware aus. Hash-Werte, Dateigrößen und Code-Strukturen änderten sich ständig. Virenscanner, die auf Signaturen basieren, liefen dem Schadcode ständig hinterher.
Der Dropper war harmlos: Das Word-Makro selbst enthielt keinen offensichtlichen Schadcode. Es war im Grunde ein Downloader – ein paar Zeilen VBA-Code, die eine Datei aus dem Internet herunterladen und ausführen. Solche Makros gibt es zu tausenden in der Geschäftswelt. Viele Virenscanner ließen sie passieren.
Massive Wellen überfordern die Signatur-Erstellung: Bei 100.000 Neuinfektionen pro Tag, jede mit einer leicht anderen Variante, konnten die Virenlabore schlicht nicht schnell genug Signaturen erstellen. Es entstand ein Zeitfenster, in dem Millionen Nutzer ungeschützt waren.
Verhaltensbasierte Erkennung kam zu spät: Einige fortschrittliche Virenscanner erkannten das Verschlüsselungsverhalten und stoppten Locky – allerdings oft erst, nachdem bereits hunderte oder tausende Dateien verschlüsselt waren. Ein teilweise verschlüsselter Rechner ist fast genauso unbrauchbar wie ein vollständig verschlüsselter.
Makro-Warnung wurde ignoriert: Microsoft Office zeigt zwar eine Warnung an, bevor Makros ausgeführt werden. Doch viele Unternehmen hatten Makros entweder generell aktiviert (weil sie für interne Prozesse benötigt wurden) oder die Mitarbeiter klickten die Warnung routinemäßig weg. Der Virenscanner verlässt sich darauf, dass der Nutzer richtig handelt – eine fatale Annahme.
So hätte Deep Freeze geschützt
Locky ist das perfekte Beispiel für einen Angriff, den Deep Freeze vollständig neutralisiert:
Der Dropper wird eliminiert: Das Word-Makro lädt den Locky-Payload herunter und speichert ihn auf der Systempartition. Deep Freeze protokolliert diese Änderung im Redirect-Bereich. Beim nächsten Neustart: Der Payload existiert nicht mehr. Selbst wenn der Nutzer das Makro aktiviert hat, ist der Schaden nach dem Neustart rückgängig gemacht.
Die Verschlüsselung wird rückgängig gemacht: Locky verschlüsselt Dateien auf der lokalen Festplatte. Deep Freeze setzt die Systempartition auf den eingefrorenen Zustand zurück. Alle verschlüsselten Dateien werden durch ihre unverschlüsselten Originale ersetzt. Die .locky-Dateien verschwinden. Die gelöschten Schattenkopien werden wiederhergestellt. Alles ist wieder wie vorher.
Das Zeitfenster des Schadens ist minimal: Selbst wenn ein Mitarbeiter am Montagmorgen um 8 Uhr das Makro aktiviert und Locky sofort mit der Verschlüsselung beginnt – beim nächsten Neustart (spätestens am Abend oder am nächsten Morgen) ist alles wieder sauber. Der Schaden beschränkt sich auf die Arbeitszeit eines einzigen Tages.
Keine 200 Euro Lösegeld nötig: Wenn ein Neustart reicht, um die Verschlüsselung rückgängig zu machen, gibt es keinen Grund zu zahlen. Die gesamte Geschäftsgrundlage von Locky – die Hoffnungslosigkeit der Opfer – wird durch Deep Freeze zerstört.
Netzlaufwerke brauchen zusätzlichen Schutz: Locky verschlüsselt auch Netzlaufwerke. Deep Freeze schützt nur die lokale Festplatte. Für Netzlaufwerke und Server sind Backups, Zugriffsrechte und eventuell eigene Schutzmechanismen nötig. Aber der Arbeitsplatzrechner – das Einfallstor für Locky – ist nach einem Neustart wieder sauber und funktionsfähig.
Für das Lukaskrankenhaus in Neuss hätte Deep Freeze bedeutet: Statt Notbetrieb und verschobener Operationen wäre nach einem koordinierten Neustart aller Arbeitsplatzrechner der normale Klinikbetrieb innerhalb von Stunden wieder möglich gewesen.
Die Lehre
- Die einfachsten Angriffe sind die erfolgreichsten. Eine gefälschte Rechnung, ein Word-Makro, ein Klick – mehr braucht es nicht. Du kannst Deine Mitarbeiter schulen, aber irgendwann klickt jemand. Deep Freeze macht den Klick reversibel.
- Das Dropper-Payload-Modell ist der Standard. Der initiale Schadcode (das Makro) ist harmlos. Er lädt erst den eigentlichen Schadcode nach. Deep Freeze unterbricht dieses Modell, weil weder der Dropper noch der Payload einen Neustart überleben.
- Signaturen können nicht mithalten. Bei 100.000 neuen Varianten pro Tag ist signaturbasierte Erkennung ein Kampf gegen Windmühlen. Deep Freeze braucht keine Signaturen – es stellt einfach den bekannten guten Zustand wieder her.
- Auch kleine Lösegelder summieren sich. 200 Euro pro Opfer bei hunderttausenden Infektionen ergeben Millionen. Für jeden einzelnen Betroffenen kann der Verlust existenzbedrohend sein. Deep Freeze schützt alle gleich – ob Großkonzern oder Handwerksbetrieb.
- Backups auf Netzlaufwerken reichen nicht. Locky verschlüsselt alles, was erreichbar ist. Backups müssen offline oder in einem nicht direkt erreichbaren System liegen. Deep Freeze ist keine Backup-Lösung – aber es ergänzt jede Backup-Strategie, indem es die Arbeitsplatzrechner sofort wiederherstellt.