Experten über "WannaCry"-Attacke "Wir hatten noch Glück"

Betroffene rund um den Globus, Erpressernachrichten auf Anzeigetafeln: Der Cyberangriff mit "WannaCry"-Software hat viele Menschen verunsichert. Experten sagen: Vermutlich sind wir diesmal noch glimpflich davongekommen.

Anzeige der Deutschen Bahn
DPA

Anzeige der Deutschen Bahn

Von


Wenn @actual_ransom eine Nachricht absetzt, heißt das: wieder ein kleiner Erfolg für die Kriminellen. Wieder ist jemand irgendwo auf der Welt zu dem Schluss gekommen, dass er nun am besten 300 Dollar in Bitcoin an jemand Unbekannten zahlt - und dann die Daumen drückt, dass er danach wirklich wieder Zugang zu seinen Daten bekommt, die ein Trojaner auf seinem Rechner verschlüsselt hat.

@actual_ransom ist ein Twitter-Bot, er hält die Umsätze dreier Bitcoin-Konten nach. Das Online-Magazin "Quartz" hat ihn programmiert, um die Folge eines der öffentlichkeitswirksamsten Cyberangriffe der jüngeren Tech-Geschichte besser verfolgbar zu machen. Landen in einem der Konten Bitcoin im Wert von 300 oder 600 Dollar, handelt es sich dabei um das Lösegeld von Betroffenen der sogenannten "WannaCry"-Cyberattacke, die seit Freitag Schlagzeilen macht.

In mindestens 150 Ländern hat die Erpressersoftware Computer-Dateien verschlüsselt, ein Pop-up-Fenster fordert danach zum Zahlen von 300 Dollar in Bitcoin auf. Mehr als 50.000 Dollar waren Opfer schon zu zahlen bereit, kein Wunder angesichts von 200.000 Organisationen und Personen, die allein am Freitag betroffen waren.

Was ist so außergewöhnlich an "WannaCry"?

Ransomware-Attacken sind nichts Neues, sie haben sich über die letzten Jahre als einer der großen Trends der Cybergaunerei etabliert. Schon vergangenes Frühjahr hatten viele Menschen mit verschlüsselten Dateien zu kämpfen, Software wie Locky, Teslacrypt oder Cryptolocker galt als Inbegriff der fiesen Digitalerpressung. In Deutschland trafen die Attacken mit solchen Programmen sogar einzelne Krankenhäuser, etwa in Neuss und Arnsberg.

Im Nachhinein, nach diesem zweiten Maiwochenende, wirkt das alles aber nur wie in Vorspiel. Mit "WannaCry" gab es nun einen Cyberangriff ähnlicher, im Detail aber doch anderer Art. Sogar auf Anzeigetafeln an Bahnhöfen war Freitag die Nachricht der Erpresser zu lesen. Was sonst einzelne Nutzer zur Verzweiflung treibt, war plötzlich vielerorts Gesprächsthema.

Für einen Moment konnte man beim Blick auf so einen Monitor das Gefühl haben, in einem schlechten Film gelandet zu sein - in einer Digital-Dystopie, in der die Maschinen nicht mehr unter der Kontrolle ihrer Herren sind.

Ein Brite wurde zum Helden

Zu diesem Gefühl passt zumindest auch, dass es im Fall WannaCry sogar einen Helden gab: Einen 22-jährigen Briten, bekannt unter dem Pseudonym "Malwaretech", der die erste Angriffswelle mit einer simplen Domain-Registrierung stoppen konnte, nach eigenen Angaben eher aus Versehen.

Und es gibt, wie in der Fantasy-Saga "Game of Thrones", Konflikte zwischen Großparteien - Intrigen, die dazu führen, dass am Ende die Bürger leiden. Konkret hatte wohl die NSA einen Weg gefunden, eine Sicherheitslücke in Microsofts Windows-Software auszunutzen. Der Geheimdienst entschied jedoch, dieses Wissen für sich zu behalten. Blöd nur, dass Hacker, die "Shadow Brokers", an das NSA-Werkzeug gelangten und es ins Netz stellten.

Auf Basis dieses Leaks konnte nun auch Kriminelle Software basteln und die Lücke ausnutzen, die Microsoft im März zunächst nur für aktuelle Betriebssyteme ausbesserte, so dass zum Beispiel die meisten Nutzer des längst veralteten Windows XP dem Angriff am Freitag kaum etwas entgegenzusetzen hatten.

Einmal im Netzwerk, schnell verbreitet

"Das Besondere an 'WannaCry' ist die Wurmfähigkeit, dank ihr hat sich die Software so schnell weiterverbreitet", sagt Helge Husemann, Experte bei der Sicherheitsfirma Malwarebytes, dem SPIEGEL. War die Software einmal in einem Computer-Netzwerk, habe sie andere Geräte befallen können, die dasselbe Leck im Betriebssystem haben: per Kabel, aber sogar übers WLAN.

Monika Schaufler, bei der Sicherheitsfirma Proofpoint für Deutschland, Österreich und die Schweiz zuständig, sagt, eine so sichtbare, so offensichtliche Attacke wie diesmal sei selten. "Wenn so etwas Firmen trifft, kriegt man das meist nicht mit", sagt Schaufler. "Kein Unternehmen will zugeben, dass es erpresst wurde oder dass es im Zweifel Lösegeld bezahlt hat."

Tatsächlich stellen Ransomware-Attacken wie "WannaCry" Privatmenschen wie Firmen vor dieselbe große Frage: Habe ich noch Sicherungen meiner wichtigsten Dateien? Hält sich der Verlust in Grenzen, wenn - wovon im Zweifel auszugehen ist - die Verschlüsselung der Dateien nicht in absehbarer Zeit geknackt werden kann?

Einmal zu schnell geklickt und ...

Im Fall von "WannaCry" ist schon das Aufarbeiten der Attacke für die Firmen eine Herausforderung. Bei vielen Ransomware-Angriffen lässt sich ein Problem gezielt auf eine bestimmte E-Mail zurückführen, auf ein Dokument, das man besser nicht hätte öffnen sollen. Bei "WannaCry" muss nur eine Person irgendwo im Firmennetzwerk einmal zu schnell auf einen Anhang geklickt haben.

David Grout von der Sicherheitsfirma FireEye meint, es sei zu früh, etwas über die Hintermänner der Attacke zu sagen. Wahrscheinlich werde es einige Wochen dauern, bis man auch nur sagen könne, ob man Cyberkriminelle hinter der Attacke vermutet.

Vielleicht - wenn die Angreifer keine Fehler machen, etwa beim Auszahlen ihrer Bitcoin - wird man es aber auch nie endgültig herausfinden, Ermittlungen von Polizeibehörden wie Europol zum Trotz. Die sogenannte Attribution, das Zuordnen von Cyberangriffen ist schwierig, zumal gerade die Methoden von Ransomware-Profis besser und besser werden.

Man fördert eine Parallelindustrie

Helge Husemann rät dazu, das zu bedenken, wenn man mit dem Gedanken spielt, für die Entschlüsselung seiner Daten zu zahlen. "Mit dem Geld fördert man eine Parallelindustrie", sagt er: Die Autoren der Software könnten sich durch das Geld bessere Kryptografen leisten oder auch bessere Psychologen - für ihre digitalen Erpresserschreiben, die schon jetzt professioneller daherkommen würden als noch vor einigen Jahren.

In jedem Fall ist klar: Ausgestanden ist das Problem Ransomware noch lange nicht. Solange etwa Geheimdienste akute Sicherheitslücken horten, statt sie den Herstellern zu übermitteln, kann sich das Szenario in ähnlicher, vielleicht sogar schlimmerer Form wiederholen. "Wir hatten noch Glück", bilanziert etwa David Grout gegenüber dem SPIEGEL.

So kann man einerseits froh sein, dass Microsoft überhaupt schon einen Patch für das Einfallstor in seiner Software veröffentlicht hatte - sonst wären potenziell wohl noch viel mehr Firmen angreifbar gewesen. Und anderseits führte auch das Vorgehen des Forscher, der die Domain registrierte, dazu, dass die erste Angriffswelle vergleichsweise schnell vorbei war. In neuen Versionen der Software, möglicherweise von Nachahmern, ist dieser Abschaltmechanismus schon gar nicht mehr integriert.

Vorsichtige Entwarnung

Am Montag war trotzdem erst einmal Aufatmen angesagt, Europol etwa gab vorsichtig Entwarnung. Es habe in Europa offenbar keine neuen infizierten Computer gegeben, sagte ein Sprecher, während es auch aus dem Weißen Haus hieß, die Lage in den USA sei unter Kontrolle. Auch die deutsche Bundesregierung erklärte, dass sich die Befürchtungen einer zweiten Angriffswelle bislang nicht bestätigt habe.

Von der Bahn, dem prominentesten deutschen Opfer, hieß es Montagnachmittag, der Betrieb laufe normal, obwohl es bei den elektronischen Anzeigetafeln in Dutzenden Bahnhöfen und bei einigen Fahrkartenautomaten immer noch Probleme gab. IT-Teams müssen die Fehlfunktionen nach und nach reparieren, das dauert. "Es könnte sich um Tage handeln", sagte ein Bahn-Sprecher dem SPIEGEL.

Erpresser-Viren - wie kann ich mich schützen?
Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.

Mitarbeit: Fabian Reinbold, mit Material von dpa



insgesamt 41 Beiträge
Alle Kommentare öffnen
Seite 1
oidahund 15.05.2017
1.
Komplexe Systeme haben immer irgendwo Fehlerstellen. Ich zu mindest habe noch kein fehlerfreies größeres Programm gesehen. Der Tag wird kommen, an dem es auf dem Bildschirm im computergesteuerten Auto heißt: Zahlen Sie die Summe x oder Sie knallen in 5 Minuten gegen einen Baum, fahren in eine Menschenmenge oder ähnliches. Aber dafür gibt es weniger Unfälle wegen Trunkenheit am Stuer oder einem Sekundenschlaf.
Radlermass 15.05.2017
2. Szenario Blackout
seit ich Blackout von Marc Elsberg gelesen habe erscheint mir so was in der jetzt erlebten Dimension durchaus plausibel und machbar. Genau genommen wundert es mich sogar, dass es noch keine erfolgreichen viralen Terroranschlaege auf oeffentliche Infrastruktur, auf das Militaer oder auf das Finanzwesen etc. gibt. Wahrscheinlich weil u.a. das BKA mit geballter IT Kompetenz dagegen haelt. Gut moeglich dass wir bald schon wehmuetig an die Harmlosigkeit von wannacry zurueckdenken werden.
mkalus 15.05.2017
3.
Zitat von Radlermassseit ich Blackout von Marc Elsberg gelesen habe erscheint mir so was in der jetzt erlebten Dimension durchaus plausibel und machbar. Genau genommen wundert es mich sogar, dass es noch keine erfolgreichen viralen Terroranschlaege auf oeffentliche Infrastruktur, auf das Militaer oder auf das Finanzwesen etc. gibt. Wahrscheinlich weil u.a. das BKA mit geballter IT Kompetenz dagegen haelt. Gut moeglich dass wir bald schon wehmuetig an die Harmlosigkeit von wannacry zurueckdenken werden.
Ein Haupgrund ist wohl eher das Leute mehr interesse an Daten und Kontrolle wie einfache zerstoerung haben. Hinzu kommt noch das auch wenn Systeme wie Elektrizitaet etc. zwar vernetzt sind, aber ein Computer alleine immer noch nicht das Kraftwerk runterfahren kann. Und dann gibt es noch so dinge wie das hier: http://www.nerc.com/Pages/default.aspx Wobei die Frage da ist wieviel davon wirklich mehr Sicherheit bringt und wieviel davon schoenfaerberei ist.
Esib 15.05.2017
4. Nur mal angenommen
Nur mal angenommen, so ein Angriff ist auf Banken und Kreditkartenfirmen gerichtet und erfolgreich und Bargeld gibt es nicht mehr... Außerdem: Spätestens damit dürfte auch die Behauptung entkräftet sein, dass es ohne Bargeld keine Überfälle mehr gibt. Gibt sie schon, wie wir hier sehen, ähnlich wie Banküberfälle, nur möglicherweise verheerender wenn sie Systeme befallen, an denen Menschenleben hängen - sei es in Krankenhäusern, in Zügen etc.
purple 15.05.2017
5. Wer kein Backup hat
verdient kein Mitleid. Und wer glaubt, dass man Backups auf SSD's Speicherkarten oder ähnlichem Firlefanz machen kann verdient auch keins. Und wer nie getestet hat ob man die Backups auch zurückspielen kan - also ob sie auch funktionieren - auch keins. Backup auf (mindestens 2) guten Festplatten und niemand hat ein Problem. Dass dann ein paar Vollpfosten zusätzlich glauben auf Sicherheitsupdates verzichten zu können so wie die DB (Akü für DeBil?) der hat auch kein Mitleid verdient. Schmeißt die IT der DB raus - SOFORT!
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.