Spekulationen über "WannaCry"-Attacke Was ist dran an der Nordkorea-Spur?

Die Erpressersoftware "WannaCry" hat weltweit Computer lahmgelegt. Nun suchen IT-Experten nach den Urhebern des Angriffs. Eine erste Spur deutet auf Nordkorea hin. Echte Beweise gibt es aber noch nicht.

B. TONGO/ EPA/ REX/ Shutterstock


Nach der Cyberattacke mit dem Erpressungstrojaner "WannaCry" sind Behörden und IT-Experten weltweit damit beschäftigt, den oder die Verantwortlichen hinter dem Angriff ausfindig zu machen. Eine erste, nicht eindeutige Analyse der Spuren deutet auf Nordkorea als Urheber hin, berichtet nun die "New York Times". Doch die Hinweise sind noch äußerst bruchstückhaft. Im Wesentlichen geht es um die Rückverfolgung eines Schnipsels Code.

Die Zeitung bezieht sich in ihrem Artikel vor allem auf Aussagen von IT-Experte Eric Chien, der bei der Sicherheitssoftware-Firma Symantec arbeitet. Neue digitale Schlüssel wiesen auf mit Nordkorea verbundene Hacker als Verdächtige hin, so Chien. Konkret könnte die "Lazarus-Gruppe" hinter dem Angriff stecken. Ihr werden seit Längerem Verbindungen zur nordkoreanischen Regierung nachgesagt. Doch auch diese Verbindung ist nicht eindeutig belegt.

Ein Schnipsel Code als heiße Spur

Symantec hat laut der "New York Times" in früheren Versionen der "WannaCry"-Software einen Codeschnipsel identifiziert, der schon bei anderen Angriffen eingesetzt worden war, die Nordkorea zugerechnet werden. Bei den Angriffen geht es um die Attacke gegen Sony vor knapp drei Jahren, die Zentralbank in Bangladesch im vergangenen Jahr und eine polnische Bank im Februar.

Die Ähnlichkeiten zwischen den Codes wurde auch von Google-Sicherheitsforscher Neal Mehta thematisiert. Die Cybersicherheitsfirma Kaspersky bestätigte am Montag ebenfalls, sie hätten Parallelen bei den Codes entdeckt. In einem Blogpost rief die Firma andere Experten dazu auf, die Gemeinsamkeiten weiter zu untersuchen, um mehr über die "WannaCry"-Urheber herauszufinden.

Die im Text der "Times" zitierten Wissenschaftler warnten selbst, die Indizien seien weit entfernt davon, beweiskräftig zu sein. Es könne Wochen oder Monate dauern, bis die Ermittler bei ihren Ergebnissen sicher genug seien, um offiziell Pjöngjangs Hacker dafür verantwortlich machen zu können.

Der verdächtige Code-Schnipsel könnte auch leicht benutzt worden sein, um eine falsche Spur zu legen oder einfach kopiert worden sein, weil sich die Angreifer beim Programmieren Arbeit sparen wollten.

Schwachstelle aus dem Arsenal der NSA

Die Erpressungssoftware "WannaCry" hatte am Freitag nach Angaben von Europol mindestens 150 Länder sowie 200.000 Organisationen und Personen getroffen. "WannaCry" hatte auf den infizierten Rechnern alle Daten verschlüsselt. Sie sollten erst nach Zahlung eines Lösegelds wieder entsperrt werden.

Bei der Attacke nutzte die Software eine Sicherheitslücke im Microsoft-Betriebssystem Windows aus, über die sie auch automatisch weitere Computer aus demselben Netzwerk anstecken konnte. Diese Schwachstelle hatte sich einst der US-Geheimdienst NSA für seine Überwachung aufgehoben - dann hatten unbekannte Hacker sie aber publik gemacht.

Ransomware-Attacken sind nichts Neues, sie haben sich über die letzten Jahre als einer der großen Trends der Cybergaunerei etabliert. Schon vergangenes Frühjahr hatten viele Menschen mit verschlüsselten Dateien zu kämpfen, Software wie Locky, Teslacrypt oder Cryptolocker galt als Inbegriff der fiesen Digitalerpressung. In Deutschland trafen die Attacken mit solchen Programmen damals sogar einzelne Krankenhäuser, etwa in Neuss und Arnsberg.

Erpresser-Viren - wie kann ich mich schützen?
Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.

gru/dpa



© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.