Seit Jahren vergeht kaum ein Tag ohne grosses Opfer einer Ransomware-Bande. Diese konnten sich im lukrativen Geschäft längst zu Unternehmen mit verschiedenen Abteilungen entwickeln. Angefangen hatte das kriminelle Business aber recht unspektakulär vor rund 10 Jahren: Am 5. September 2013 entdeckte ein Opfer auf seinem Rechner Cryptolocker, die erste waschechte Ransomware.

Auch in der Schweiz wurde die Ransomware 2013 zum ersten Mal entdeckt, erklärte uns Pascal Lamia, Leiter der operativen Cybersicherheit im Nationalen Security-Zentrum (NCSC), im Interview. Vorausgegangen waren Hacks bei denen der Zugang zum Computer gesperrt wurde, aber eine echte Ransomware wurde zuvor nicht beobachtet. Zum Trend beigetragen hat zweifellos das Aufkommen von Kryptowährungen wenige Jahre zuvor, weil sie helfen die Finanzströme zu verschleiern.

Eine erste Warnung des NCSC, damals noch als Melde- und Analysestelle Informationssicherung Melani bekannt, wurde im November 2013 ausgesprochen: "Im Falle einer Infektion empfehlen wir, den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist natürlich notwendig." Bis heute hat die Stelle als IT-Feuerwehr mit Ransomware viel Arbeit.

Cyptolocker verschwand zwar nach weniger als einem Jahr wieder, hatte da aber bereits tausende Computer infiziert. Und die Taktik sollte sich etablieren. Sie wird seither von Banden verfeinert und verbessert. Heutzutage beherrschen die Malware-Varianten etliche Tricks, die Angreifer sind in Partnerstrukturen organisiert und die erpressten Summen gehen in die Milliarden.