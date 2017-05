Nordkorea will nicht in Zusammenhang mit der weltweiten "WannaCry"-Attacke vom vergangenen Wochenende gebracht werden. Es sei "lächerlich", eine Verbindung zur Volksrepublik zu ziehen, sagte der stellvertretende Uno-Botschafter des Landes, Kim In Ryong, am Freitag in New York. Es sei typisch für "die USA und die feindlichen Mächte", eine lautstarke anti-nordkoreanische Kampagne zu starten, "wann immer etwas Seltsames passiert".

Die Softwarefirmen Symantec und Kaspersky Lab hatten Anfang der Woche erklärt, in einer früheren Version der Erpressersoftware sei Programmiercode verwendet worden, den auch die sogenannte "Lazarus"-Gruppe genutzt habe. Viele Firmen, nicht nur Symantec und Kaspersky, gehen davon aus, dass Nordkorea hinter "Lazarus" steht. Symantec ist eine amerikanische Firma für IT-Sicherheit, Kaspersky eine russische.

Auch Experten aus anderen Ländern hatten den Verdacht geäußert, dass Nordkorea etwas mit der Cyberattacke zu tun haben könnte. So wies etwa Simon Choi von Hauri, einer südkoreanischen Firma für Internetsicherheit, darauf hin, dass der für "WannaCry" verwendete Code jenem ähnele, der beim Online-Angriff auf die US-Produktionsfirma Sony Pictures zum Einsatz kam. Für den Sony-Hack hatte 2014 sogar das FBI offiziell Nordkoreas Regierung verantwortlich gemacht.

Die Arbeit der Digitalforensiker ist komplex

Die "WannaCry"-Erpressersoftware hatte seit dem vergangenen Freitag Hunderttausende Rechner in den meisten Ländern der Erde befallen. In England wurden infolgedessen einige Krankenhäuser lahmgelegt, in Deutschland waren zum Beispiel 450 Computer der Deutschen Bahn betroffen. Nutzer, deren Rechner es erwischt hatte, stießen auf die Meldung, dass ihre Dateien nun verschlüsselt seien, und wurden aufgefordert, mithilfe der elektronischen Währung Bitcoin Geld an die Erpresser zu überweisen. Nur wer zahle, habe die Chance, seine Daten wiederzubekommen, hieß es. Sonst würden sie nach sieben Tagen gelöscht.

Für Sicherheitsexperten ist es nicht leicht, Online-Angriffe wie den mit "WannaCry" jemandem zuzuordnen, sei es einer bestimmten Hackergruppe oder gar einer bestimmten Regierung. Ihre Arbeit ist komplex, die Ergebnisse sind selten eindeutig. Code kann wiederverwendet werden, Hackergruppen können sich als andere Gruppen tarnen. Daher war auch der Schnipsel Code, das nach Nordkorea deutete, erst einmal nicht mehr als ein erstes Indiz.

Den Fall "WannaCry" machte auch seine Vorgeschichte kompliziert: Für ihren Angriff hatten die Hintermänner eine Sicherheitslücke in Microsofts Windows-Betriebssystem ausgenutzt, die der NSA schon länger bekannt gewesen war. Der US-Geheimdienst behielt dieses Wissen offenbar aber zunächst im Interesse eigener Einsatzmöglichkeiten für sich. Einer Hackergruppe namens "Shadow Brokers", bei der man bislang nicht genau sagen kann, wer dahintersteckt, gelang es während dieses Zeitraums aber, Daten der NSA abzugreifen.

Microsoft schloss die Lücke per Update

Später dann stellten die "Shadow Brokers" einen Teil ihrer Beute ins Netz und ermöglichten es so auch anderen Hackern und Kriminellen, die Windows-Schwachstelle gezielt anzugreifen. Microsoft hatte in der Zwischenzeit mit einem Update auf das Problem reagiert - vermutlich, weil die NSA das Unternehmen irgendwann nach dem Datenleck doch darüber informiert hatte.

So muss der Schaden, den "WannaCry" anrichtete, vor dem Hintergrund gesehen werden, dass in vielen Fällen die Windows-Versionen bereits automatisch aktualisiert und so geschützt waren: Ohne die Microsoft-Aktualisierung wäre das Chaos, das die Software angerichtet hat, wohl größer gewesen. "Wir hatten noch Glück", hatte etwa auch der Experte David Grout von der Sicherheitsfirma FireEye bilanziert.

Anders als zunächst vermutet scheinen von der Attacke übrigens nicht überwiegend Windows-XP-Rechner betroffen gewesen zu sein. Costin Raiu, bei Kaspersky Leiter der globalen Forschungs- und Analyseeinheit, twitterte am Freitag eine Grafik des Unternehmens, laut der vor allem Windows-7-Rechner ein Ransomware-Problem hatten, wenn sie nicht rechtzeitig geupdatet worden waren.

#WannaCry infection distribution by the Windows version. Worst hit - Windows 7 x64. The Windows XP count is insignificant. pic.twitter.com/5GhORWPQij — Costin Raiu (@craiu) 19. Mai 2017

Während das veraltete XP üblicherweise schon seit Jahren keine Sicherheitsupdates von Microsoft mehr bekommt, gilt Windows 7 weiter als eine Plattform, die der Konzern mit Patches unterstützt. Weltweit ist Windows 7 trotz des Erscheinens von Windows 10 nach wie vor das meistgenutzte PC-Betriebssystem.

Knapp 100.000 Dollar Lösegeld

Eine weitere "WannaCry"-Überraschung ist mit Blick auf das Ausmaße der Attacke der vergleichsweise übersichtliche Lösegeld-Rückfluss. @actual_ransom, ein Bot des Magazins "Quartz", beobachtet die Bitcoin-Zahlungen an Konten, die mit der Erpressung in Zusammenhang stehen. Demnach sind bei den "WannaCry"-Hintermännern bislang umgerechnet kaum 100.000 Dollar eingegangen - nicht viel angesichts der Lösegeldforderungen von immerhin 300 beziehungsweise nach einigen Tagen 600 Dollar pro Rechner.

Erklärungen dafür gibt es mehrere. Einerseits warnen Experten eindringlich davor, Lösegeld zu zahlen, weil man so die Erpresser finanziell fördert, sodass sie bei kommenden Attacken möglicherweise bessere Werkzeuge einsetzen können. Und andererseits sind Ransomware-Attacken längst nicht Neues mehr, schon vergangenes Frühjahr und in den Jahren zuvor hatten Computernutzer damit massive Probleme. Das könnte dazu geführt haben, dass viele Nutzer und Firmen ihre Daten mittlerweile häufiger oder besser sichern als früher.

Und nicht zuletzt meldeten am Donnerstagabend IT-Sicherheitsexperten aus Frankreich, dass sie einen Weg gefunden hätten, zumindest bestimmte von "WannaCry" verschlüsselte Computer wieder freizubekommen.

Eine Voraussetzung für einen Erfolg sei es, dass die Rechner nach der Attacke noch nicht wieder neu gestartet wurden, erklärte die Sicherheitsfirma Comae Technologies in einem Blogeintrag. Außerdem sei es möglich, dass die dafür nötigen Informationen im Speicher des Computers bereits überschrieben worden seien. Ansonsten habe ein Werkzeug namens "Wanakiwi" aber auf Computern sowohl mit Windows XP als auch mit Windows 7 funktioniert.