SPIEGEL ONLINE

SPIEGEL ONLINE

28. Juni 2017, 06:44 Uhr

Weltweiter Angriff auf Firmen

Ermittler suchen nach Cyber-Erpressern

Hacker haben eine Windows-Sicherheitslücke genutzt und Konzerne in aller Welt lahmgelegt. Wieder ging es um Lösegeld. Europol fahndet, wer hinter der massiven Cyberattacke steckt.

Nach dem jüngste Cyberangriff mit Erpressungssoftware haben Behörden in verschiedenen Ländern Ermittlungen gegen Unbekannt aufgenommen. Bislang ist unklar, wer hinter der Attacke steckt. Der oder die Erpresser fordern zur Wiederherstellung infizierter Computersysteme eine Art Lösegeld in der Digitalwährung Bitcoins.

Ersten Erkenntnissen zufolge handelte es sich bei dem Virus um eine Version der bereits seit vergangenem Jahr bekannten Erpressungssoftware "Petya", die Computer verschlüsselt und Lösegeld verlangt.

Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner "WannaCry", teilten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit. Die russische IT-Sicherheitsfirma Kaspersky glaubt hingegen, dass es sich nicht um eine "Petya"-Variante handelt, sondern um eine gänzlich neue Software.

Das BSI riet dringend dazu, alle IT-Systeme auf den neuesten Stand zu bringen und bekannte Sicherheitslücken zu schließen. "Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben", sagte Amtspräsident Arne Schönbohm.

Kaspersky verzeichnete nach eigenen Angaben allein am Dienstag rund 2000 Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien, Frankreich und den USA. Der in Berlin ansässige E-Mail-Dienstleister Posteo sperrte nach eigenen Angaben einen Account, der für den Cyberangriff genutzt wurde. Neben Europol nahmen auch französische Strafverfolgungsbehörden Ermittlungen auf.

Die neuerliche Attacke legte zahlreiche Unternehmen und Behörden lahm. An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Die ukrainische Zentralbank warnte vor einer Attacke mit einem "unbekannten Virus", auch der Internetauftritt der Regierung war betroffen. Ebenfalls in Mitleidenschaft gezogen wurden der Lebensmittel-Riese Mondelez ("Milka", "Oreo"), der russische Ölkonzern Rosneft, die US-Pharmafirma Merck und die dänische Reederei Maersk.

"Eternal Blue": Was die NSA mit dem Fall zu tun hat

Die Windows-Sicherheitslücke wurde ursprünglich vom US-Abhördienst NSA ausgenutzt, der Dienst teilte Microsoft sein Wissen also nicht mit. Das übernahmen dann aber Hacker: Eine Hackergruppe unter dem Pseudonym "Shadow Brokers" griff Daten der NSA ab und stellte einen Teil seiner Beute ins Netz. Kriminelle bedienten sich an Teilen vom mutmaßlichen NSA-Code, der unter dem Namen "Eternal Blue" geführt wird - und schufen "WannaCry". Auch der aktuelle Schadcode setzt Codeschnipsel von "Eternal Blue" ein.

Es gibt zwar schon seit Monaten ein Update, das die Windows-Sicherheitslücke schließt. Doch das scheinen viele Firmen noch immer nicht installiert zu haben, trotz "WannaCry". Mitte Mai hatte diese Attacke bereits Hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows infiziert. Betroffen waren damals vor allem Privatpersonen - aber auch Unternehmen wie die Deutsche Bahn und Renault.

max/dpa

URL:


© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung