taz.de -- Nach Erpressungstrojaner „WannaCry“: Suche nach Schuldigen läuft

Der Angriff betraf mindestens 150 Länder weltweit. Europol spricht von einer Attacke noch nie dagewesenen Ausmaßes. Die Untersuchung werde „komplex“.
Bild: Probleme bei der Bahn: Neben den Fahrplan-Anzeigen seien auch einige Fahrkartenautomaten und vereinzelt Überwachungskameras ausgefallen

London ap/dpa/rtr/ap | [1][Nach dem Angriff des Erpressungstrojaners „WannaCry“ auf Unternehmen und Institutionen in aller Welt] hat die schwierige Suche nach den Tätern begonnen. IT-Experten warnten davor, dass möglicherweise noch weit verheerendere Attacken bevor stehen könnten. Experten in Konzernen und Behörden fürchten eine neue Welle des weltweiten Cyberangriffs mit Beginn der Arbeitswoche. Wenn sich am Montag rund um den Globus Millionen Menschen nach dem Wochenende wieder in ihrer Computer einloggten, werde sich der Virus wieder weiterverbreiten, warnten Sicherheitsexperten und Unternehmensberater besonders in Asien. Dort hatte der Computerwurm bisher vergleichsweise wenig Schaden angerichtet.

Von der weltweiten Cyberattacke sind nach Angaben der europäischen Polizeibehörde bislang mehr als 200.000 Ziele in „mindestens 150 Ländern“ betroffen. Es handele sich „insbesondere um Unternehmen“, sagte Europol-Chef Rob Wainwright dem britischen Sender ITV am Sonntag. Viele weitere entgingen der Attacke, weil es einem jungen IT-Wissenschaftler gelang, eine eingebaute Notbremse in der Malware zu aktivieren.

Bei einer Ransomware-Attacke bemächtigt sich schädliche Software eines Computers und hält die darauf gespeicherten Daten gewissermaßen in Geiselhaft. Der Nutzer wird über eine Nachricht auf dem Bildschirm aufgefordert, Lösegeld (ransom) zu zahlen, damit er wieder auf den Rechner zugreifen kann. Wollen Einzelpersonen oder Unternehmen nicht zahlen, bleibt ihnen nur die Möglichkeit, ihre Daten aus Backups wieder herzustellen oder sie verloren zu geben.

Besonders betroffen von der Attacke durch die Ransomware „WannaCry“ war der britische Gesundheitsdienst NHS. Von dessen 248 Einrichtungen seien 48 infiziert worden, sagte Innenministerin Amber Rudd am Samstag nach einer Krisensitzung der Regierung in London. Bei allen bis auf sechs seien aber die Computersysteme mittlerweile wieder hergestellt. IT-Experten arbeiteten rund um die Uhr daran, auch diese zu retten.

In Brasilien musste das Computersystem der Sozialversicherung des Landes vom Netz genommen und der öffentliche Zugang gesperrt werden. Auch das brasilianische Außenministerium, der staatliche Öl-Konzern Petrobras und Gerichte riegelten Computer vorsichtshalber ab.

Bahn-Anzeigentafeln weiterhin gestört

Nach dem Angriff werden die betroffenen Anzeigetafeln der Deutschen Bahn noch „einige Zeit gestört bleiben“. Das teilte ein Bahnsprecher am Sonntag auf Anfrage der Deutschen Presse-Agentur mit. Die Techniker müssten die Software an jedem einzelnen Rechner, der die Anzeigetafeln steuert, reparieren. „Es gibt keinen zentralen Server, der die Tafeln steuert“, sagte der Sprecher. Neben den Fahrplan-Anzeigen seien auch einige Fahrkartenautomaten und vereinzelt Überwachungskameras ausgefallen.

Die Einheit für Cyberkriminalität bei Europol erklärte, es habe sich um einen Angriff in einem bisher noch nie da gewesenen Ausmaß gehandelt. „Es wird einer komplexen internationalen Untersuchung bedürfen, um die Schuldigen zu identifizieren“, hieß es in einer Erklärung.

Möglicherweise sei die Attacke aber nur ein Vorgeschmack gewesen, warnte der Cybersicherheits-Experte Ori Eisen. Immerhin seien die Lösegeld-Forderungen auch sehr gering gewesen. „Das war noch nichts Ernsthaftes. Was wenn das Gleiche bei zehn Atomkraftwerken passiert und sie den ganzen Strom abstellen müssen? Was wenn das Gleiche bei einem Damm oder einer Brücke passiert?“, sagte er der Nachrichtenagentur AP. „Heute ist es bei 10.0000 Computern passiert. Es gibt keine Hürde, dass es morgen bei 100 Millionen Computern passiert.“

Rasend schnelle Ausbreitung

Die Schadsoftware nutzte eine bereits bekannte Sicherheitslücke von Microsoft Windows, für die es auch bereits ein Update gibt. Dieses wurde aber bei den betroffenen Rechnern offenbar noch nicht installiert, weil einige noch Windows XP benutzen und deshalb dafür zahlen müssten. Die Malware gelangt über E-Mail-Anhänge in die Systeme und breitet sich rasend schnell aus, wenn Nutzer drauf klicken. Microsoft kündigte an, in Zukunft Sicherheitsupdates auch für ältere Windows-Versionen gratis anzubieten.

Hilfe bei der Eindämmung der Malware kam von einem 22-jährigen IT-Forscher, der einen sogenannten Kill Switch in dem Programm aktivieren konnte. Das tat er, indem er eine Internet-Domain registrierte, auf die das Programm immer wieder zugriff. Offenbar hatten die Hintermänner diese Notbremse eingebaut, um den Virus selbst stoppen zu können. Bereits infizierte Rechner konnten dadurch aber nicht gerettet werden. Auch der 22-Jährige warnte, dass nach einer simplen Änderung des Codes eine neue Cyberattacke folgen könnte.

Das britische Zentrum für Internetsicherheit lobte den jungen IT-Forscher. In einer Mitteilung auf seiner Internetseite erklärte das Zentrum, der Mann, der auf [2][Twitter einen Account unter dem Namen MalwareTech] führt, habe eine weitere Verbreitung der schadhaften Software verhindert. Der 22-Jährige teilte am Samstag über Twitter mit, dass er ursprünglich nicht wusste, dass er mit seinem Handeln die Ransomware stoppen würde.

Die Virus-Experten von Kaspersky Lab and Avast erklärten, dass Russland am schwersten betroffen war. Das russische Innenministerium bestätigte die Ransomware-Attacken, eine Sprecherin sagte der Nachrichtenagentur Interfax aber am Samstag, das Problem sei lokalisiert worden und keine Daten seien nach außen gelangt. Russland wurde in der Vergangenheit selbst für eine Reihe von Hackerattacken verantwortlich gemacht.

14 May 2017

LINKS

[1] /Cyberattacke-in-globalem-Massstab/!5409081
[2] https://twitter.com/MalwareTechBlog

TAGS

Cyberattacke
Cyberkriminalität
Hacker
Deutsche Bahn
Microsoft
Europol
Cyberkriminalität
Twitter / X
Bremen
WannaCry
Petrobras
WannaCry
WannaCry
Cyberattacke

ARTIKEL ZUM THEMA

Studie über Betrüger im Internet: Wer sind die Cyberkriminellen?

Das Europäische Forum Alpbach sucht Wege zu mehr Sicherheit im Internet. Ein Studie über Cyberkrimelle zeigt nicht nur erwartbares.

Aufräumaktion bei Facebook und Twitter: Propaganda-Accounts gelöscht

Erst Microsoft, jetzt Facebook und Twitter. Es wirkt fast wie eine konzertierte Aktion. Der Vorwurf der Manipulation richtet sich gegen Moskau und Teheran.

Bremer Bunker wird umfunktioniert: Westend wird Silicon Walle

In einem ehemaligen Atomschutzbunker in Bremen-Walle ist ein gigantisches Rechenzentrum entstanden – mit vierfacher Datensicherung.

Angriffe auf Firmen: Neue Cyber-Attacke trifft Ukraine

Über einen Monat nach der „WannaCry“-Attacke hat ein Erpressungstrojaner erneut in großem Stil zugeschlagen. Diesmal traf es viele Firmen in der Ukraine.

Korruptionsskandal um Petrobras: Brasiliens Präsident Temer belastet

Wo Schmiergeld gezahlt wird, wird auch irgendwann Schweigegeld bezahlt. In den Skandal um den Ölkonzern Petrobras ist wohl auch Brasiliens Präsident verstrickt.

Der Erpressungstrojaner „WannaCry“: Ein Netz von Unsicherheiten

Warum Geheimdienste Sicherheitslücken kaufen – und was die Lösegeld-Attacke vom Wochenende mit Bananen zu tun hat.

Nach Erpressungstrojaner „WannaCry“: Microsoft gibt Regierungen Mitschuld

In Krankenhäusern, Schulen und Büros stiftet der Angriff mit der Ransomware Unruhe. Der Softwarekonzern Microsoft kritisiert den US-Geheimdienst NSA.

Cyberattacke in globalem Maßstab: Schwarze Bildschirme in 99 Ländern

Die bisher größte Welle von Cyberattacken hat am Freitag weltweit Systeme lahmgelegt. Auch die Deutsche Bahn wurde Ziel. Besonders hart traf es britische Kliniken.