Erpresser-Software "WannaCry"-Attacke - Fakten zum globalen Cyberangriff

Der größte Erpressersoftware-Angriff der Geschichte hat weltweit Zigtausende Computer lahmgelegt, auch die Bahn und Krankenhäuser waren betroffen. Antworten auf die wichtigsten Fragen.

Anzeige im Hauptbahnhof in Chemnitz am Freitag: Forderung von Lösegeld
DPA

Anzeige im Hauptbahnhof in Chemnitz am Freitag: Forderung von Lösegeld


Eine weltweite Cyberattacke hat seit Freitag in Behörden, Unternehmen und bei Einzelpersonen erhebliche Schäden angerichtet. Zehntausende Computer wurden Opfer der erpresserischen Schadsoftware unter dem Namen "WannaCry", die sich stündlich millionenfach weiterverbreitete.

Wie lief der Angriff ab?

Der Chef-Experte der in Helsinki ansässigen Cybersicherheitsfirma F-Secure, Mikko Hyppönen, sprach vom "größten Ransomware-Ausbruch in der Geschichte". Rechner in mehr als hundert Ländern sind mit einem schädlichen Programm infiziert worden. Die weltweite Cyberattacke erreichte nach Einschätzung der europäischen Ermittlungsbehörde Europol "beispielloses Ausmaß".

Die Kriminellen griffen im Betriebssystem Windows mit einer Erpressersoftware mit dem Namen "WannaCry" an, die Computerdaten verschlüsselt und nur gegen Geld wieder freigibt. Solche Programme werden Lösegeldtrojaner genannt. Gezahlt werden muss in der Digitalwährung Bitcoin. Häufig werden Beträge zwischen 300 und 600 Dollar verlangt, zumindest wenn es sich bei den Opfern um Privatleute handelt.

Die Kriminellen setzten auf eine Schwachstelle, die sich einst der US-Spähdienst NSA für seine Überwachung aufgehoben hatte. Vor einigen Monaten hatten unbekannte Hacker sie publik gemacht.

Warum erreichte die Attacke solch ein großes Ausmaß?

Üblicherweise muss erst der Nutzer eines Computers dem Trojaner die "Tür" in seinen Rechner öffnen, etwa wenn er einen präparierten Link in einer E-Mail anklickt oder eine bestimmte Website ansurft.

Bei der Attacke aber konnte sich der Erpresser-Virus nach einer initialen Infektion in einem Netzwerk von einem Computer zum anderen ausbreiten, ohne dass der Nutzer etwas machen musste. "Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen", erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Hat Microsoft die Sicherheitslücke nicht geschlossen?

Die Lücke wurde bereits im März von Microsoft geschlossen. Jetzt allerdings traf es Computer, auf denen das Update noch nicht aufgespielt worden war, zum Beispiel Rechner mit dem veralteten Betriebssystem Windows XP, für das es schon seit Jahren keine Aktualisierungen mehr gibt. Microsoft legte nun eilig sogar ein Update auch für XP auf. Die aktuelle Version "Windows 10" war übrigens nicht anfällig.

Hätte die NSA die Lücke Microsoft gemeldet, wäre dann nichts passiert?

Vermutlich wäre der Angriff nicht möglich gewesen, wenn Microsoft die Lücke früher hätte schließen können. IT-Experten sehen sich bestätigt: Sie warnen seit Jahren davor, dass nicht gemeldete Sicherheitslücken eine große Gefahr für alle darstellen. Offenbar hat die NSA diese Schwachstelle nicht sofort an den Hersteller Microsoft gemeldet, nachdem sie Kenntnis von ihr erlangt hatte.

Warum wurden Computer nicht geschützt?

Manche Nutzer sind nachlässig, wenn es um die Installierung von Software-Updates geht. In Unternehmen gibt es zahlreiche Hindernisse, die es erschweren, kritische Lücken zeitnah zu stopfen. Gerade bei einfachen Systemen wie Anzeigetafeln neigen Unternehmen aus Kostengründen dazu, eher alte Rechner einzusetzen oder auf Sicherheitskonzepte ganz zu verzichten.

Wer ist betroffen?

Erstes Ziel war Europa und dann die USA. Das Programm wurde in Computer von Unternehmen, Behörden und Privatleuten eingeschleust. In Asien machte sich der Virus weniger bemerkbar. Die chinesische Nachrichtenagentur Xinhua meldete allerdings, in einigen Schulen und Universitäten seien Computer infiziert.

Zu den Opfern der Cyber-Attacken zählen (Auswahl):
    Deutschland: Computer der Deutschen Bahn sind von dem Angriff erfasst. Betroffen seien Anzeigetafeln und Fahrkartenautomaten, teilte ein Sprecher mit. Der Zugverkehr rolle aber.
  • Großbritannien: Die Schadsoftware hat in mehreren Krankenhäusern die Computer blockiert. Die Bevölkerung wurde gebeten, nur in wirklichen Notfällen zu kommen, einige Patienten mussten verlegt werden.
  • Russland: Das Innenministerium bestätigte, dass es angegriffen worden sei. Rund 1000 Computer seien betroffen. Allerdings seien keine Daten verloren gegangen - inzwischen habe man die Attacke im Griff.
  • USA: Der US-Logistikriese FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff.
  • Spanien: Die spanische Telefónica bestätigte einen "Cybersicherheitsvorfall". Der Service soll davon jedoch nicht beeinträchtigt worden sein.
  • Portugal: Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren.
  • Schweden: 70 Computer der Gemeinde Timrå waren betroffen, wie es auf der Webseite der Verwaltung hieß. Die Monitore der Mitarbeiter seien erst blau, dann schwarz geworden. Auch der Stahlkonzern Sandvik wurde nach eigenen Angaben angegriffen.
  • Frankreich: Der Autobauer Renault stoppte wegen der Angriffe die Produktion in einigen Werken, "um eine Ausbreitung der Schadsoftware zu verhindern".
Taiwan: Der kleine Inselstaat südlich von China gilt als einer der Hauptziele der Hacker - genauso wie die Ukraine.

Was sollten Betroffene machen?

Institutionen, die in Deutschland mit dem Trojaner zu kämpfen haben, werden gebeten, sich beim BSI zu melden. Microsoft veröffentlichte ein Update, mit dem die Lücke geschlossen werden kann. Experten warnten jedoch, dass die Angreifer jederzeit mit einer modifizierten Version ihrer Software einen erneuten Angriff tätigen könnten. Das BSI riet dringend zum Aufspielen des Sicherheits-Updates.

Im Idealfall hat man auch als Privatnutzer ein frisches Back-up, mit dem man den Computer wiederherstellen kann. Experten raten grundsätzlich davon ab, den Kriminellen Lösegeld zu zahlen, um deren Geschäft nicht zu befeuern. Eher selten gelingt es sogar, die Verschlüsselung der Angreifer zu knacken.

Was waren die schlimmsten Folgen der Attacke?

In Großbritannien mussten wegen der Störung der IT-Systeme im Gesundheitssystem Rettungswagen in andere Kliniken umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt. Mindestens 21 Krankenhäuser berichteten von größeren Störungen. Die Einrichtungen seien aber nicht gezielt ins Visier genommen worden, sagte Premierministerin Theresa May.

Im Internet kursierten Aufnahmen von Computerbildschirmen der Krankenhäuser mit der Botschaft "Ups, deine Daten wurden verschlüsselt". Es folgte eine fristgebundene Lösegeldforderung in Höhe von 300 Dollar (275 Euro), zahlbar in der Internet-Währung Bitcoin.

Der Autobauer Renault hat nach der weltweiten Welle von Cyberangriffen die Produktion in einigen Werken in Frankreich gestoppt. Der Schritt sei "Teil von Schutzmaßnahmen, um eine Ausbreitung der Schadsoftware zu verhindern", sagte ein Firmensprecher.

Die russische Zentralbank meldete eine Attacke auf das Bankensystem des Landes. Auch mehrere Ministerien waren betroffen, ebenso gab es Attacken auf die russische Bahn. Auch der US-Logistikkonzern FedEx war betroffen, weitere Fälle wurden aus Australien, Spanien, Belgien, Italien sowie Mexiko und Slowenien gemeldet.

Welche Folgen gibt es für die Deutsche Bahn?

In Deutschland wurden Computer der Deutschen Bahn und des Logistikkonzerns Schenker erfasst. "Sicherheitsrelevante Systeme waren nicht betroffen", sagte Bahnchef Richard Lutz der "Bild am Sonntag". Die Sicherheit des Bahnverkehrs sei "zu jedem Zeitpunkt gewährleistet" gewesen.

An den Bahnhöfen seien Schalter geöffnet - auch der Zugverkehr rolle wie gewohnt. Nach Angaben eines Bahn-Sprechers seien digitale Anzeigetafeln sowie Ticketautomaten ausgefallen. Auch die Technik zur Videoüberwachung ist einem Sprecher des Bundesinnenministeriums zufolge betroffen.

Es kursieren Bilder von Anzeigetafeln der Bahn an Bahnsteigen, auf denen in deutscher Sprache Lösegeld gefordert wird. Über Lautsprecher informierte die Bahn die Reisenden über eine "technische Störung". Auch Ticketautomaten funktionierten an mehreren Bahnhöfen nicht. Die Internetseite bahn.de sowie die "Navigator-App" für Smartphones läuft laut dem Sprecher aber ohne Einschränkung.

Ist die Attacke vorbei?

Die Attacke wurde in der Nacht zum Samstag anscheinend gestoppt, weil ein IT-Sicherheitsforscher im Software-Code offenbar zufällig auf eine Art "Notbremse" gestoßen war.

Der Betreiber von "MalwareTech" schrieb auf Twitter, er sei auf eine unregistrierte Internet-Adresse gestoßen, über die das schädliche Programm verbreitet worden sei. Er habe die entsprechende Domain registriert, also ordnungsgemäß namentlich angemeldet. Dadurch wäre ein Schalter ("Kill Switch") aktiviert worden, der die Verbreitung der Schadsoftware stoppte.

Der Forscher erhielt viel Lob auf Twitter, nachdem die Zahl der neu infizierten Computer nach seiner Maßnahme stark zurückgegangen war. Mittlerweile gebe es wohl keine weiteren Infizierungen mit verseuchter Software.

Für eine endgültige Entwarnung sei es aber noch zu früh, sollten die Hacker den Schadcode ändern, könnte ein erneuter Angriff starten.

Wird gegen die Angreifer ermittelt?

Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

In Deutschland hat das Bundeskriminalamt BKA die Ermittlungen übernommen. Das teilte das Bundesinnenministerium am Samstag mit. Innenminister Thomas de Maizière betonte, der Angriff sei nicht der Erste seiner Art, aber besonders schwerwiegend.

Wie reagieren Politiker?

Innenminister Thomas de Maizière forderte, bis Ende der Legislaturperiode die offenen Fragen beim IT-Sicherheitsgesetz zu klären. "Ich hoffe, dass spätestens jetzt alle Beteiligten zügig ihrer Verantwortung nachkommen und meinen längst auf dem Tisch liegenden Vorschlägen zustimmen."

"Zudem sprechen die jetzigen Erkenntnisse dafür, dass wer unserem Rat folgt, regelmäßige Software-Updates durchzuführen, eine gute Wahrscheinlichkeit hatte, dem Angriff zu entgehen", betonte das Innenministerium.

Konstantin von Notz, der netzpolitische Sprecher der Grünen im Bundestag, sagte am Samstag: "Solche Attacken auf Krankenhäuser und andere Infrastrukturen sind lebensgefährlich." Sicherheitslücken würden auch von westlichen Geheimdiensten zur Informationsgewinnung bewusst offen gehalten und nun von Kriminellen und feindlich gesinnten Diensten ausgenutzt.

Die Finanzminister der sieben wichtigsten Industrieländer (G7) wiesen bei ihrem Treffen im italienischen Bari auf die wachsende Gefahr solcher Attacken hin. "Wir stellen fest, dass Cybervorfälle eine wachsende Gefahr für unsere Volkswirtschaften darstellen und angemessene, umfassende politische Antworten darauf für die gesamte Wirtschaft erforderlich sind", heißt es in einem Entwurf für die Abschlusserklärung des Treffens.

Wie kann man sich in Zukunft schützen?

Betriebssystem und Software sollten immer auf dem neuesten Stand gehalten werden. Außerdem sollte man die Warnungen von Experten beherzigen, nicht übereilt auf Links in E-Mails zu klicken, sondern Nachrichten zunächst auf Plausibilität zu prüfen. Und es ist ratsam, regelmäßig ein Back-up zu machen, um die eigenen Daten in Kopie parat zu haben.

Erpresser-Viren - wie kann ich mich schützen?
Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.

boj/dpa/AFP/Reuters



insgesamt 113 Beiträge
Alle Kommentare öffnen
Seite 1
abwinken 13.05.2017
1. die hoffnung stirbt zuletzt
Vielleicht wachen jetzt alle Beteiligten auf und hauen den Verursachern auf die Finger. Da muss, wie beim Einbruch ind ähnlichem, mal ein ordentlicher Strafrahmen her. Da muss auch mal ein Nutzer oder eine Länderverbindung stillgelegt wwrden. Auch wenn die Industriefuzzies jaulen. Ansonsten, seh ich für die Zukunft des Internets tiefschwarz.
meiner_einer 13.05.2017
2. Der wichtigste Schutz wäre...
... bei jedem vernetzten Gerät zu hinterfragen, ob es wirklich auf einem vollausgestatteten Endnutzer-Betriebssystem laufen muß (sprich: Windows), oder ob nicht ein dediziert nur für diese Ausgabe ausgestattetes Minimal-System die bessere und sicherere Lösung wäre.
mk1964 13.05.2017
3. Microsoft hätte die Lücke auch dann nicht geschlossen, wenn
Microsoft hätte die Lücke auch dann nicht geschlossen, wenn die NSA das ein paar Monate früher bekannt gemacht hätte. Und die User, die noch XP einsetzen, wären auch dann auf ein anderes Betriebssystem gewechselt. Helfen würde nur, wenn Hacker solche Lücken in einer Software nicht der Öffentlichkeit melden würden, sondern ausschließlich dem jeweiligen Hersteller. Die Ransomware-Attake war nicht sehr professionell gemacht. Die, die das verschickt haben, wären ohne die Hilfestellung durch die Hacker sicher nicht in der Lage gewesen diese Ransomware erfolgreich zu verbreiten.
Alternator 13.05.2017
4. Computerviren und Borkenkäfer
Wieso konnte sich der Borkenkäfer seinerzeit so frei ausbreiten? Nun, weil in den Nutzwäldern Monokulturen herrschten. Wenn auf Computern weltweit eine Quasi-Monokultur mit weit verbreiteten Schwachstellen vorherrscht, ist es kein Wunder, wenn sich Schädlinge so explosionsartig ausbreiten. Suchauftrag an den nicht geneigten Leser dieses Kommentars: Lesen sie morgen mal auf Wikipedia über BSD und Linux nach. Als Ansatzpunkt dafür, dass es auch alternativen gibt. Sie würden auch Microsoft helfen, wenn sie umstiegen, denn die Distanz zwischen potentiellen Opfern für Datenschädlinge würde größer, deren Ausbreitung dadurch behindert. ;o) Irgendeine der etwa 800 Linuxvarianten erfüllt auch Ihre Bedürfnisse. "Innenminister Thomas de Maizière forderte, bis Ende der Legislaturperiode die offenen Fragen beim IT-Sicherheitsgesetz zu klären." Hm. Werden dann wieder unsichere Vehikel wie DE-Mail per Gesetz für sicher erklärt, auch wenn sie dadurch keinen Deut besser werden? Hoffentlich ja, dann gibt es beim nächsten Chaos Communication Congress für die Zuhörer von Talks wie "Bullshit made in Germany" ordentlich was zu lachen. Sieher hier: https://media.ccc.de/v/30C3_-_5210_-_de_-_saal_g_-_201312282030_-_bullshit_made_in_germany_-_linus_neumann
KingTut 13.05.2017
5. Rasche Aufklärung
Die Freisetzung eines solchen Computervirus, um Menschen auf der ganzen Welt zu erpressen, ist hochgradig kriminell. Es ist für unsereins schwer nachvollziehbar, dass es so schwierig ist, die Urheber ausfindig zu machen. Denn die Bitcoins müssen ja von jemandem am Ende zu Cash gemacht werden. Nur eine rasche Aufklärung und harte Bestrafung der Verantwortlichen kann Nachahmer davon abhalten, den nächsten Cyberangriff zu starten.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.