Weltweiter Cyberangriff Ums Lösegeld kann es nicht gehen
Display mit Erpressernachricht
Foto: AFPDie Welt ist rot: Zumindest auf einer Weltkarte der Virenjäger von McAfee. Die IT-Spezialisten kennzeichnen in verschiedenen Rot-Schattierungen, aus welchen Ländern sie Meldung über eine Erpressersoftware erhalten haben, die derzeit weltweit ihr Unwesen treibt.
Betroffen ist vor allem eine lange Liste an Unternehmen und Staatsdiensten, von der US-Pharmafirma Merck über die dänische Riesenreederei Maersk bis hin zu Systemen zur Strahlungsmessung am Kernkraftwerk Tschernobyl. Auch aus Deutschland gibt es Meldungen, laut NDR ist zum Beispiel der Nivea-Hersteller Beiersdorf betroffen.
Die Ukraine ist aber das Epizentrum des Angriffs, laut der IT-Sicherheitsfirma Kaspersky liegen 60 Prozent der Ziele in dem Land. Ums Geldverdienen kann es den Angreifern angesichts ihres Vorgehens aber kaum gegangen sein - weltweites Chaos haben sie dennoch angerichtet. Die wichtigsten Fragen und Antworten zu dem Fall:
Welche Schadsoftware kommt zum Einsatz?
Eine Erpressersoftware ist ein Schadprogramm, das Rechner befällt und alle Daten darauf verschlüsselt - wer sein Gerät wieder nutzen möchte, muss online Lösegeld an die Angreifer zahlen.
Nachdem IT-Experten anfänglich noch gerätselt hatten, welche Schadsoftware gerade ihr Unwesen treibt, haben sich am Mittwoch etliche Sicherheitsfirmen festgelegt: Ihren Analysen zufolge handelt es sich bei dem Verschlüsselungstrojaner aller Wahrscheinlichkeit nach um eine Abwandlung des Erpressungstrojaners Petya.
Petya hatte schon im März 2016 für PC-Probleme bei deutschen Windows-Nutzern gesorgt. Analysten der IT-Firma Bitdefender beschreiben den aktuellen Schadcode als "nahezu identisch" mit GoldenEye, das ist eine Variante von Petya. Diese Einschätzung bestätigen auch die Virenjäger von Avira sowie die IT-Sicherheitsfirma FireEye aus den USA. Petya verschlüsselt nicht einzelne Dateien auf dem befallenen System, sondern manipuliert die Festplatte und verhindert so das Starten des Betriebssystems.
Was bezwecken die Angreifer mit ihrer Attacke?
Das Geschäftsmodell von Lösegeldtrojanern ist einfach: Die Cyberkriminellen wollen Geld von ihren Opfern. Die Angreifer scheinen auf dieses Ziel aber erstaunlich wenig Energie verschwendet zu haben. Die Opfer sollten in der Kryptowährung Bitcoin zahlen und sich danach bei einer E-Mail-Adresse von Anbieter Posteo melden, damit ihre Daten wieder entschlüsselt werden. "Das ist ein sehr umständliches und unsicheres Vorgehen", sagt Sicherheitsexperte Candid Wüest von der Firma Symantec. Bei früheren Angriffen mit Petya seien die Bezahlmechanismen viel ausgeklügelter gewesen.
Entsprechend schnell war es auch vorbei mit dem Geldregen: Posteo sperrte den Account. "Das ist ein totaler Kontrast zu dem, was wir bei anderen Cyberkriminellen sehen. Die achten normalerweise sehr darauf, dass ihr Bezahlmodell zum Geldverdienen absolut wasserfest ist", sagt Monrad.
Der Analyst vermutet deshalb, dass es sich bei der Lösegeldforderung um eine "Ablenkung" handeln könnte. "Weil die Angreifer offensichtlich keine finanziellen Interessen haben, halte ich es für überaus plausibel, dass es sich um einen politisch motivierten Schlag handelt." Den Angreifern sei es offenbar einfach darum gegangen, Chaos und Schaden zu verursachen.
Auch IT-Experte Wüest hält einen Sabotageakt für plausibel, zumal sich der Angriff gezielt an Unternehmen und ihre internen Netze gerichtet habe. Wer die Angreifer sind, ist noch nicht klar. Denn es ist extrem schwierig, Hackerangriffe zurückzuverfolgen, mehr dazu hier:
Hat der Fall etwas mit den jüngsten "WannaCry"-Attacken zu tun?
Ja, über einen gemeinsamen Schnipsel Code. Rückblick: Im Mai hatte der Erpressungstrojaner "WannaCry" Hunderttausende Windows-Computer in mehr als 150 Ländern befallen. "WannaCry" hatte für seine Verbreitung eine Windows-Sicherheitslücke ausgenutzt, die ursprünglich vom US-Geheimdienst NSA per sogenanntem Exploit namens Eternal Blue ausgenutzt worden war.
Nach Veröffentlichung der Daten durch Hacker kam, was kommen musste: Kriminelle bedienten sich bei Eternal Blue und nutzten den Exploit für ihre Zwecke. Der Code tauchte in "WannaCry" auf und auch die aktuelle Schadsoftware-Attacke nutzt unter anderem Eternal Blue als Baustein.
Wie liefen die Angriffe ab?
Aktuell ist noch nicht alles über die Schadsoftware bekannt. Ein zentraler Angriffsweg hat aber wohl mit der Buchhaltungssoftware MeDoc zu tun. Die Software aus der Ukraine ist nötig, um Steuern in der Ukraine zu entrichten. Das tun nicht nur ukrainische Firmen, sondern auch auf viele internationale. Die Reederei Maersk setzt etwa laut einer aktuellen Stellenbeschreibung MeDoc ein.
Über ein infiziertes Update der Software könnte der Schadcode in den Systemen der Firmen gelandet sein. Dank des Eternal-Blue-Exploits habe die Schadsoftware sich dann laut Monrad von FireEye weiterverbreiten können - theoretisch auch auf Systeme, die gar nicht unmittelbar an MeDoc angebunden sind.
Dieser Theorie um die MeDoc-Software geht laut einem Tweet auch die ukrainische Polizei nach. Der Hersteller der Steuersoftware verteidigte sein Produkt hingegen in einem Facebook-Eintrag . Er spekuliert über die Möglichkeit, dass auch sogenannte Spearphishing-E-Mails zum Einsatz gekommen sein könnten. Das sind betrügerische E-Mails, die Nutzer zum Klick auf einen infizierten E-Mail-Anhang oder eine manipulierte Website verleiten sollen. Monrad von FireEye hält das für möglich, aber unwahrscheinlich.
Wieso kann so ein Angriff mit Erpressersoftware so kurz nach "WannaCry" wieder passieren?
Noch während "WannaCry" sein weltweites Unwesen trieb, stellte Microsoft eilig ein Update bereit, das die ausgenutzte Windows-Lücken stopfen sollte. Die Attacke nötigte Microsoft sogar zu dem Schritt, auch für veraltete Betriebssysteme wie Windows XP eine Sicherheitsaktualisierung nachzuliefern.
Doch auch Nutzer, die den Windows-Patch installierten, waren vor der neuen Attacke nicht gefeit, sagt Monrad von FireEye. "Die Malware ist so gebaut, dass sie auch bei Systemen, die den Patch installiert haben, einen Weg finden konnte, Schaden anzurichten." Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) betonte in einer Mitteilung , dass der Patch "in vielen Fällen eine Infektion verhindert" hat - aber nicht in allen.
Dass in der Ukraine so viele Systeme betroffen waren, könnte laut Candid Wüest von Symantec auch daran liegen, dass der Mittwoch dort ein Feiertag sei - und am Tag vorher womöglich viele Arbeitnehmer und die IT-Abteilungen schon früh in den Feierabend gegangen sind.
Was können Nutzer tun?
Das BSI und andere Experten raten Opfern, deren Rechner von einem Lösegeldtrojaner befallen wurde: Zahlen Sie nicht. Zum einen befeuert man damit das Geschäftsmodell der Kriminellen. Zum anderen entschlüsseln die Angreifer die Daten auch nach einer Zahlung oft nicht. Und Sicherheitsfirmen haben in der Vergangenheit immer wieder kostenlose Tools zur Entschlüsselung bekannter Erpressersoftware zur Verfügung gestellt, wenn auch mit Wartezeit. Nutzer sollten außerdem regelmäßige Backups machen, damit sie im Fall eines Angriffs ihre Daten behalten.
Auch im Falle einer Infizierung ist nicht sofort alles vorbei: Wenn der unten gezeigte schwarze Bildschirm zu sehen ist, sollte man laut Candid Wüest von Symantec sofort den Stecker ziehen, um Daten zu retten und eine Weiterverbreitung der Schadsoftware über den eigenen Rechner zu verhindern.
Firmen rät FireEye-Spezialist Monrad, Pläne zu machen für den Fall einer Cyberattacke. "Jede Firma macht Feuerschutzübungen, und genauso schnell muss man auch im Fall eines Angriffs der IT handeln."
Er fordert, dass betroffene Firmen Angriffe nicht aus Scham verschweigen sollten, sondern damit an die Öffentlichkeit gehen. "Nur so können wir die öffentliche Debatte über IT-Sicherheit starten, die wir brauchen." Im Sinne von Sicherheitsforschern wie Monrad dürfte daher auch das erst kürzlich ausgeweitete deutsche IT-Sicherheitsgesetz sein: Demnach müssen Firmen Angriffe auf kritische Infrastruktur verpflichtend melden.
