Erpressungssoftware Experten fürchten neue "WannaCry"-Attacken

Der bisher größte Angriff mit Erpressungssoftware ist wohl noch nicht beendet. Am Montag könnte laut Experten eine weitere Welle bevorstehen. Auch neue Attacken mit der gleichen Masche sind wahrscheinlich.
Computercode

Computercode

Foto: B. TONGO/ EPA/ REX/ Shutterstock

Das Schlimmste steht offenbar erst noch bevor: Sicherheitsexperten gehen davon aus, dass die Cyberangriffe mit Erpressersoftware noch nicht vorüber sind. Sie warnen zudem vor neuen Attacken.

"Ich gehe davon aus, dass es von dieser Attacke früher oder später eine weitere Welle geben wird", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.

Experten fürchten, dass es am Montag vor allem im bislang noch nicht so stark betroffenen Asien größere Probleme geben könnte, wenn sich viele Mitarbeiter nach dem Wochenende an ihrem Arbeitsplatz einloggen.

Europol zählt 200.000 Betroffene

Nach Angaben von Europol hat die weltweite Cyber-Attacke bisher mindestens 150 Länder getroffen. "Nach der letzten Zählung hat es 200.000 Opfer gegeben", sagte der Chef der europäischen Ermittlungsbehörde, Rob Wainwright, dem britischen Fernsehsender ITV. Darunter seien auch große Firmen. Die Rechner wurden von dem Erpressungstrojaner "WannaCry" befallen, der sie verschlüsselt und Lösegeld verlangt.

Die Welt habe mit einer wachsenden Bedrohung zu tun, sagte Wainwright. Auch er rechnet mit weiter steigenden Zahlen zu Beginn der neuen Arbeitswoche. Europol schlug ein internationales Vorgehen der Behörden vor, um die Hintermänner zu finden.

Der britische IT-Forscher, der die Ausbreitung des Erpressungstrojaners am Freitag gestoppt hatte, glaubt sogar an eine baldige neue Attacke. "Möglicherweise am Montagmorgen", sagte der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. "Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören." Es sei kein großer technischer Aufwand, den Code zu ändern und eine neue Angriffswelle zu starten.

Der Computerexperte Linus Neumann vom Chaos Computer Club schreibt in einem Gastbeitrag auf SPIEGEL ONLINE, dass bereits eine neue Variante der Schadsoftware im Umlauf ist. Diesmal ohne einen Kill Switch, mit dessen Hilfe der erste Angriff gestoppt werden konnte.

Ausmaß des Schadens bisher unklar

Noch ist das genaue Ausmaß der Schäden in Deutschland unklar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rechnet erst in den kommenden Tagen mit einem Überblick. Die von der Attacke betroffene Deutsche Bahn kämpfte am Sonntag noch immer mit den Auswirkungen des Angriffs. In Deutschland übernahm das Bundeskriminalamt die Ermittlungen.

Zu den Opfern der Cyber-Attacken zählen (Auswahl):

Deutschland: Computer der Deutschen Bahn sind von dem Angriff erfasst. Betroffen seien Anzeigetafeln und Fahrkartenautomaten, teilte ein Sprecher mit. Der Zugverkehr rolle aber.Großbritannien: Die Schadsoftware hat in mehreren Krankenhäusern die Computer blockiert. Die Bevölkerung wurde gebeten, nur in wirklichen Notfällen zu kommen, einige Patienten mussten verlegt werden.Russland: Das Innenministerium bestätigte, dass es angegriffen worden sei. Rund 1000 Computer seien betroffen. Allerdings seien keine Daten verloren gegangen - inzwischen habe man die Attacke im Griff.USA: Der US-Logistikriese FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff.Spanien: Die spanische Telefónica bestätigte einen "Cybersicherheitsvorfall". Der Service soll davon jedoch nicht beeinträchtigt worden sein.Portugal: Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren.Schweden: 70 Computer der Gemeinde Timrå waren betroffen, wie es auf der Webseite der Verwaltung hieß. Die Monitore der Mitarbeiter seien erst blau, dann schwarz geworden. Auch der Stahlkonzern Sandvik wurde nach eigenen Angaben angegriffen.Frankreich: Der Autobauer Renault stoppte wegen der Angriffe die Produktion in einigen Werken, "um eine Ausbreitung der Schadsoftware zu verhindern".Taiwan: Der kleine Inselstaat südlich von China gilt als einer der Hauptziele der Hacker - genauso wie die Ukraine.

Neu an dem Angriff von Freitag war, dass der Erpressungstrojaner selbstständig neue Computer infizierte, ohne dass ein Nutzer etwa auf einen präparierten Link klicken musste. Dadurch konnte sich das Schadprogramm binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmaß.

Die Schadsoftware basiert auf einer Sicherheitslücke, die ursprünglich vom US-Geheimdienst NSA für seine Überwachung ausgenutzt wurde. Bereits vor einigen Monaten hatten Hacker sie öffentlich gemacht. Microsoft hatte zwar schon Anfang des Jahres ein Update veröffentlicht, das die Schwachstelle schloss - aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde.

Nach der Attacke stellte der Konzern auch ein Update für das veraltete Windows XP bereit, das eigentlich nicht mehr gewartet wird. Der Angriff traf laut Experten viele XP-Rechner. Das aktuelle Windows 10 war dagegen nicht betroffen.

Erpresser-Viren - wie kann ich mich schützen?

Unklar ist auch, wie viele Nutzer auf die Lösegeldforderungen eingehen werden. Nach Erkenntnissen von Sicherheitsexperten, die von den Erpressern genannte Bitcoin-Konten beobachten, wurden zunächst nur wenige Zehntausend Dollar eingezahlt.

Die Summe könnte aber steigen, wenn von den Erpressern gesetzte Fristen näherrücken. Wer bis zum 15. Mai nicht bezahlt hat, soll dann bereits 600 Dollar rausrücken, das Doppelte der ursprünglich geforderten Summe. Am 19. Mai sollen die verschlüsselten Daten angeblich unwiederbringlich verschwinden.

Experten raten davon ab, den Forderungen nachzukommen. Denn Privatnutzer und Firmen, die zahlen, finanzieren die Angreifer, die dadurch mehr Ressourcen haben, nach Schwachstellen zu suchen oder sie zu kaufen. Wer allerdings kein Back-up für seine Daten hat, dem bleibt kaum eine andere Möglichkeit.

brt/dpa/AFP