Erpressungssoftware Experten fürchten neue "WannaCry"-Attacken

Der bisher größte Angriff mit Erpressungssoftware ist wohl noch nicht beendet. Am Montag könnte laut Experten eine weitere Welle bevorstehen. Auch neue Attacken mit der gleichen Masche sind wahrscheinlich.

Computercode
B. TONGO/ EPA/ REX/ Shutterstock

Computercode


Das Schlimmste steht offenbar erst noch bevor: Sicherheitsexperten gehen davon aus, dass die Cyberangriffe mit Erpressersoftware noch nicht vorüber sind. Sie warnen zudem vor neuen Attacken.

"Ich gehe davon aus, dass es von dieser Attacke früher oder später eine weitere Welle geben wird", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.

Experten fürchten, dass es am Montag vor allem im bislang noch nicht so stark betroffenen Asien größere Probleme geben könnte, wenn sich viele Mitarbeiter nach dem Wochenende an ihrem Arbeitsplatz einloggen.

Europol zählt 200.000 Betroffene

Nach Angaben von Europol hat die weltweite Cyber-Attacke bisher mindestens 150 Länder getroffen. "Nach der letzten Zählung hat es 200.000 Opfer gegeben", sagte der Chef der europäischen Ermittlungsbehörde, Rob Wainwright, dem britischen Fernsehsender ITV. Darunter seien auch große Firmen. Die Rechner wurden von dem Erpressungstrojaner "WannaCry" befallen, der sie verschlüsselt und Lösegeld verlangt.

Die Welt habe mit einer wachsenden Bedrohung zu tun, sagte Wainwright. Auch er rechnet mit weiter steigenden Zahlen zu Beginn der neuen Arbeitswoche. Europol schlug ein internationales Vorgehen der Behörden vor, um die Hintermänner zu finden.

Der britische IT-Forscher, der die Ausbreitung des Erpressungstrojaners am Freitag gestoppt hatte, glaubt sogar an eine baldige neue Attacke. "Möglicherweise am Montagmorgen", sagte der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. "Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören." Es sei kein großer technischer Aufwand, den Code zu ändern und eine neue Angriffswelle zu starten.

Der Computerexperte Linus Neumann vom Chaos Computer Club schreibt in einem Gastbeitrag auf SPIEGEL ONLINE, dass bereits eine neue Variante der Schadsoftware im Umlauf ist. Diesmal ohne einen Kill Switch, mit dessen Hilfe der erste Angriff gestoppt werden konnte.

Ausmaß des Schadens bisher unklar

Noch ist das genaue Ausmaß der Schäden in Deutschland unklar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechnet erst in den kommenden Tagen mit einem Überblick. Die von der Attacke betroffene Deutsche Bahn kämpfte am Sonntag noch immer mit den Auswirkungen des Angriffs. In Deutschland übernahm das Bundeskriminalamt die Ermittlungen.

Zu den Opfern der Cyber-Attacken zählen (Auswahl):
    Deutschland: Computer der Deutschen Bahn sind von dem Angriff erfasst. Betroffen seien Anzeigetafeln und Fahrkartenautomaten, teilte ein Sprecher mit. Der Zugverkehr rolle aber.
  • Großbritannien: Die Schadsoftware hat in mehreren Krankenhäusern die Computer blockiert. Die Bevölkerung wurde gebeten, nur in wirklichen Notfällen zu kommen, einige Patienten mussten verlegt werden.
  • Russland: Das Innenministerium bestätigte, dass es angegriffen worden sei. Rund 1000 Computer seien betroffen. Allerdings seien keine Daten verloren gegangen - inzwischen habe man die Attacke im Griff.
  • USA: Der US-Logistikriese FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff.
  • Spanien: Die spanische Telefónica bestätigte einen "Cybersicherheitsvorfall". Der Service soll davon jedoch nicht beeinträchtigt worden sein.
  • Portugal: Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren.
  • Schweden: 70 Computer der Gemeinde Timrå waren betroffen, wie es auf der Webseite der Verwaltung hieß. Die Monitore der Mitarbeiter seien erst blau, dann schwarz geworden. Auch der Stahlkonzern Sandvik wurde nach eigenen Angaben angegriffen.
  • Frankreich: Der Autobauer Renault stoppte wegen der Angriffe die Produktion in einigen Werken, "um eine Ausbreitung der Schadsoftware zu verhindern".
Taiwan: Der kleine Inselstaat südlich von China gilt als einer der Hauptziele der Hacker - genauso wie die Ukraine.

Neu an dem Angriff von Freitag war, dass der Erpressungstrojaner selbstständig neue Computer infizierte, ohne dass ein Nutzer etwa auf einen präparierten Link klicken musste. Dadurch konnte sich das Schadprogramm binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmaß.

Die Schadsoftware basiert auf einer Sicherheitslücke, die ursprünglich vom US-Geheimdienst NSA für seine Überwachung ausgenutzt wurde. Bereits vor einigen Monaten hatten Hacker sie öffentlich gemacht. Microsoft hatte zwar schon Anfang des Jahres ein Update veröffentlicht, das die Schwachstelle schloss - aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde.

Nach der Attacke stellte der Konzern auch ein Update für das veraltete Windows XP bereit, das eigentlich nicht mehr gewartet wird. Der Angriff traf laut Experten viele XP-Rechner. Das aktuelle Windows 10 war dagegen nicht betroffen.

Erpresser-Viren - wie kann ich mich schützen?
Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.

Unklar ist auch, wie viele Nutzer auf die Lösegeldforderungen eingehen werden. Nach Erkenntnissen von Sicherheitsexperten, die von den Erpressern genannte Bitcoin-Konten beobachten, wurden zunächst nur wenige Zehntausend Dollar eingezahlt.

Die Summe könnte aber steigen, wenn von den Erpressern gesetzte Fristen näherrücken. Wer bis zum 15. Mai nicht bezahlt hat, soll dann bereits 600 Dollar rausrücken, das Doppelte der ursprünglich geforderten Summe. Am 19. Mai sollen die verschlüsselten Daten angeblich unwiederbringlich verschwinden.

Experten raten davon ab, den Forderungen nachzukommen. Denn Privatnutzer und Firmen, die zahlen, finanzieren die Angreifer, die dadurch mehr Ressourcen haben, nach Schwachstellen zu suchen oder sie zu kaufen. Wer allerdings kein Back-up für seine Daten hat, dem bleibt kaum eine andere Möglichkeit.

brt/dpa/AFP



insgesamt 15 Beiträge
Alle Kommentare öffnen
Seite 1
CyberCyberCyberCyber 14.05.2017
1. Wer immer noch nicht gepatcht hat....
...ist doch mittlerweile selbst Schuld. Microsoft war sogar so nett und hat für XP einen Patch bereitgestellt.
sok1950 14.05.2017
2. Trojaner heißt heute Update
Mal wieder wird eine Sau durch's Dorf getrieben und alle haben nichts anderes zu tun als die neuesten NSA-Hintertüren - getarnt als Update - zu installieren, nachdem eine Hintertür bekannt wurde.
schumbitrus 14.05.2017
3. Fehlleitende Implikation
> Die Schadsoftware basiert auf einer Sicherheitslücke, die > ursprünglich vom US-Geheimdienst NSA für seine Überwachung > ausgenutzt wurde. Bereits vor einigen Monaten hatten Hacker > sie öffentlich gemacht. Microsoft hatte zwar schon Anfang des > Jahres ein Update veröffentlicht, das die Schwachstelle schloss > - aber jetzt traf es die Computer, auf denen das Update noch > nicht installiert wurde. Wer das ohne Hintergrund-Wissen liest, dem wird suggeriert, der nicht-updatende Nutzer sei das Problem. Dass die NSA hier Fehler für eigene Zwecke ausnutzt, anstatt die Bürger (weltweit) vor Schaden zu bewahren und den Fehler öffentlich zu machen, DAS ist das Grundproblem. Ja, natürlich steckt die NSA (genau wie bei uns BND und die Verfassungs"schützer") in dem Dilemma, eigene Machtwerkzeuge aus der Hand zu geben oder eben das eigene Volk tatsächlich vor Schaden zu bewahren. Wir in Europa wissen aber, dass es illegal war, dass die NATO im Rahmen der Aktion Gladio den Bahnhof in Bologna gesprengt hat. Damals sind Menschen ums Leben gekommen und man wollte diese Aktion linken Terroristen in die Schuhe schieben - damit man sie danach mit dem ganzen Zorn des Volkes verfolgen kann. Man darf einfach gewisse Sachen nicht machen - auch nicht als Geheimdienst. Bzw. man muss auch als Geheimdienst bei der Sicherheit der Bürger die Priorität setzen. Das Horten, Aufkaufen oder gar Beauftragen von Fehlern ist daher aus mehreren Gründen unverantwortlich. Denn die Informationen können abfließen oder auch von anderen in Eigenarbeit herausgefunden werden. "Security by Obscurity" hat noch nie funktioniert und wie man gerade live und in Farbe beobachten kann, zahlen wir gerade das erste mal den Preis für diese Unsicherheit, die uns von den Geheimdiensten aufgezwungen wird. Dass dann Microsoft Monate brauchte, um den Patch zu liefern und ihn dann auch nur ein statistischer Anteil der Nutzer einspielte, ist eben gelebte Windows-Computer-Realität. Die haben das Problem verschärft - aber hauptverantwortlich ist die NSA, die den Fehler für eigene Zwecke missbraucht hat, anstelle ihn beheben zu lassen.
Msc 14.05.2017
4.
Zitat von sok1950Mal wieder wird eine Sau durch's Dorf getrieben und alle haben nichts anderes zu tun als die neuesten NSA-Hintertüren - getarnt als Update - zu installieren, nachdem eine Hintertür bekannt wurde.
Lieber erlaube ich der NSA zu sehen, dass ich bei SPON einen Kommentar schreibe als von irgendwelchen Kriminellen dazu genötigt zu werden meine Festplatte zu formatieren. Gerade solche Einstellungen wie sie sie haben, erlauben es erst, dass solche Angriffe überhaupt stattfinden. Gute Arbeit.
spiegelleser987 14.05.2017
5.
Ähnliches kenne ich schon, habe es aber noch nie angeklickt. Vergangenes Jahr kam bereits in vielen Zeitungen und im Internet der Bericht über so eine Aktion. Einen Tag später ging es los. Ich bekam von der Postbankk Mails. Dort stand drin, dass es gerade solche Hacker gibt und ich aus Sicherheitsgründen die dort angegebene Internetadresse der Postbank anklicken und mich mit Pin-Nr. Passwort usw. anmelden sollte, um anschließend meine Daten zu prüfen. Die Mail sah seriös aus. Ich habe sie aber sofort gelöscht, weil sie nicht von der Postbank sondern von der Postbankk kam. Weeil die Schrift so klein war, konnten die andere möglicherweise kaum erkennen. Und seit einigen Wochen krieg ich von Paypal Mails. Ich hätte etwas bestellt und die würden den von meinem Konto abgebuchten Betrag von 195 Euro nicht so schnell an den Händler weiterleiten. In der Mail sollte ich auf einen Link klicken, um das zu bestätigen. Das habe ich nicht getan, weil ich bisher nur ein einziges Mal als Gast mit Paypal über die Kreditkarte bezahlt habe. Seitdem kamen auch Mails aus unterschiedlichen Ländern von Paypal, wo immer drinstand, dass ich meine Kontonummer prüfen sollte. Die haben keine Kontonummer von mir. ... nun ist es vorbei.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.