Erpresser-Software "WannaCry"-Attacke - Fakten zum globalen Cyberangriff

Der größte Erpressersoftware-Angriff der Geschichte hat weltweit Zigtausende Computer lahmgelegt, auch die Bahn und Krankenhäuser waren betroffen. Antworten auf die wichtigsten Fragen.
Anzeige im Hauptbahnhof in Chemnitz am Freitag: Forderung von Lösegeld

Anzeige im Hauptbahnhof in Chemnitz am Freitag: Forderung von Lösegeld

Foto: P. Götzelt/ dpa

Eine weltweite Cyberattacke hat seit Freitag in Behörden, Unternehmen und bei Einzelpersonen erhebliche Schäden angerichtet. Zehntausende Computer wurden Opfer der erpresserischen Schadsoftware unter dem Namen "WannaCry", die sich stündlich millionenfach weiterverbreitete.

Wie lief der Angriff ab?

Der Chef-Experte der in Helsinki ansässigen Cybersicherheitsfirma F-Secure, Mikko Hyppönen, sprach vom "größten Ransomware-Ausbruch in der Geschichte". Rechner in mehr als hundert Ländern sind mit einem schädlichen Programm infiziert worden. Die weltweite Cyberattacke erreichte nach Einschätzung der europäischen Ermittlungsbehörde Europol "beispielloses Ausmaß".

Die Kriminellen griffen im Betriebssystem Windows mit einer Erpressersoftware mit dem Namen "WannaCry" an, die Computerdaten verschlüsselt und nur gegen Geld wieder freigibt. Solche Programme werden Lösegeldtrojaner genannt. Gezahlt werden muss in der Digitalwährung Bitcoin. Häufig werden Beträge zwischen 300 und 600 Dollar verlangt, zumindest wenn es sich bei den Opfern um Privatleute handelt.

Die Kriminellen setzten auf eine Schwachstelle, die sich einst der US-Spähdienst NSA für seine Überwachung aufgehoben hatte. Vor einigen Monaten hatten unbekannte Hacker sie publik gemacht.

Warum erreichte die Attacke solch ein großes Ausmaß?

Üblicherweise muss erst der Nutzer eines Computers dem Trojaner die "Tür" in seinen Rechner öffnen, etwa wenn er einen präparierten Link in einer E-Mail anklickt oder eine bestimmte Website ansurft.

Bei der Attacke aber konnte sich der Erpresser-Virus nach einer initialen Infektion in einem Netzwerk von einem Computer zum anderen ausbreiten, ohne dass der Nutzer etwas machen musste. "Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen", erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Hat Microsoft die Sicherheitslücke nicht geschlossen?

Die Lücke wurde bereits im März von Microsoft geschlossen. Jetzt allerdings traf es Computer, auf denen das Update noch nicht aufgespielt worden war, zum Beispiel Rechner mit dem veralteten Betriebssystem Windows XP, für das es schon seit Jahren keine Aktualisierungen mehr gibt. Microsoft legte nun eilig sogar ein Update auch für XP auf. Die aktuelle Version "Windows 10" war übrigens nicht anfällig.

Hätte die NSA die Lücke Microsoft gemeldet, wäre dann nichts passiert?

Vermutlich wäre der Angriff nicht möglich gewesen, wenn Microsoft die Lücke früher hätte schließen können. IT-Experten sehen sich bestätigt: Sie warnen seit Jahren davor, dass nicht gemeldete Sicherheitslücken eine große Gefahr für alle darstellen. Offenbar hat die NSA diese Schwachstelle nicht sofort an den Hersteller Microsoft gemeldet, nachdem sie Kenntnis von ihr erlangt hatte.

Warum wurden Computer nicht geschützt?

Manche Nutzer sind nachlässig, wenn es um die Installierung von Software-Updates geht. In Unternehmen gibt es zahlreiche Hindernisse, die es erschweren, kritische Lücken zeitnah zu stopfen. Gerade bei einfachen Systemen wie Anzeigetafeln neigen Unternehmen aus Kostengründen dazu, eher alte Rechner einzusetzen oder auf Sicherheitskonzepte ganz zu verzichten.

Wer ist betroffen?

Erstes Ziel war Europa und dann die USA. Das Programm wurde in Computer von Unternehmen, Behörden und Privatleuten eingeschleust. In Asien machte sich der Virus weniger bemerkbar. Die chinesische Nachrichtenagentur Xinhua meldete allerdings, in einigen Schulen und Universitäten seien Computer infiziert.

Zu den Opfern der Cyber-Attacken zählen (Auswahl):

Deutschland: Computer der Deutschen Bahn sind von dem Angriff erfasst. Betroffen seien Anzeigetafeln und Fahrkartenautomaten, teilte ein Sprecher mit. Der Zugverkehr rolle aber.Großbritannien: Die Schadsoftware hat in mehreren Krankenhäusern die Computer blockiert. Die Bevölkerung wurde gebeten, nur in wirklichen Notfällen zu kommen, einige Patienten mussten verlegt werden.Russland: Das Innenministerium bestätigte, dass es angegriffen worden sei. Rund 1000 Computer seien betroffen. Allerdings seien keine Daten verloren gegangen - inzwischen habe man die Attacke im Griff.USA: Der US-Logistikriese FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff.Spanien: Die spanische Telefónica bestätigte einen "Cybersicherheitsvorfall". Der Service soll davon jedoch nicht beeinträchtigt worden sein.Portugal: Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren.Schweden: 70 Computer der Gemeinde Timrå waren betroffen, wie es auf der Webseite der Verwaltung hieß. Die Monitore der Mitarbeiter seien erst blau, dann schwarz geworden. Auch der Stahlkonzern Sandvik wurde nach eigenen Angaben angegriffen.Frankreich: Der Autobauer Renault stoppte wegen der Angriffe die Produktion in einigen Werken, "um eine Ausbreitung der Schadsoftware zu verhindern".Taiwan: Der kleine Inselstaat südlich von China gilt als einer der Hauptziele der Hacker - genauso wie die Ukraine.

Was sollten Betroffene machen?

Institutionen, die in Deutschland mit dem Trojaner zu kämpfen haben, werden gebeten, sich beim BSI zu melden . Microsoft veröffentlichte ein Update , mit dem die Lücke geschlossen werden kann. Experten warnten jedoch, dass die Angreifer jederzeit mit einer modifizierten Version ihrer Software einen erneuten Angriff tätigen könnten. Das BSI riet dringend zum Aufspielen des Sicherheits-Updates.

Im Idealfall hat man auch als Privatnutzer ein frisches Back-up, mit dem man den Computer wiederherstellen kann. Experten raten grundsätzlich davon ab , den Kriminellen Lösegeld zu zahlen, um deren Geschäft nicht zu befeuern. Eher selten gelingt es sogar, die Verschlüsselung der Angreifer zu knacken.

Was waren die schlimmsten Folgen der Attacke?

In Großbritannien mussten wegen der Störung der IT-Systeme im Gesundheitssystem Rettungswagen in andere Kliniken umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt. Mindestens 21 Krankenhäuser berichteten von größeren Störungen. Die Einrichtungen seien aber nicht gezielt ins Visier genommen worden, sagte Premierministerin Theresa May.

Im Internet kursierten Aufnahmen von Computerbildschirmen der Krankenhäuser mit der Botschaft "Ups, deine Daten wurden verschlüsselt". Es folgte eine fristgebundene Lösegeldforderung in Höhe von 300 Dollar (275 Euro), zahlbar in der Internet-Währung Bitcoin.

Der Autobauer Renault hat nach der weltweiten Welle von Cyberangriffen die Produktion in einigen Werken in Frankreich gestoppt. Der Schritt sei "Teil von Schutzmaßnahmen, um eine Ausbreitung der Schadsoftware zu verhindern", sagte ein Firmensprecher.

Die russische Zentralbank meldete eine Attacke auf das Bankensystem des Landes. Auch mehrere Ministerien waren betroffen, ebenso gab es Attacken auf die russische Bahn. Auch der US-Logistikkonzern FedEx war betroffen, weitere Fälle wurden aus Australien, Spanien, Belgien, Italien sowie Mexiko und Slowenien gemeldet.

Welche Folgen gibt es für die Deutsche Bahn?

In Deutschland wurden Computer der Deutschen Bahn und des Logistikkonzerns Schenker erfasst. "Sicherheitsrelevante Systeme waren nicht betroffen", sagte Bahnchef Richard Lutz der "Bild am Sonntag". Die Sicherheit des Bahnverkehrs sei "zu jedem Zeitpunkt gewährleistet" gewesen.

An den Bahnhöfen seien Schalter geöffnet - auch der Zugverkehr rolle wie gewohnt. Nach Angaben eines Bahn-Sprechers seien digitale Anzeigetafeln sowie Ticketautomaten ausgefallen. Auch die Technik zur Videoüberwachung ist einem Sprecher des Bundesinnenministeriums zufolge betroffen.

Es kursieren Bilder von Anzeigetafeln der Bahn an Bahnsteigen, auf denen in deutscher Sprache Lösegeld gefordert wird. Über Lautsprecher informierte die Bahn die Reisenden über eine "technische Störung". Auch Ticketautomaten funktionierten an mehreren Bahnhöfen nicht. Die Internetseite bahn.de sowie die "Navigator-App" für Smartphones läuft laut dem Sprecher aber ohne Einschränkung.

Ist die Attacke vorbei?

Die Attacke wurde in der Nacht zum Samstag anscheinend gestoppt, weil ein IT-Sicherheitsforscher im Software-Code offenbar zufällig auf eine Art "Notbremse" gestoßen war.

Der Betreiber von "MalwareTech" schrieb auf Twitter, er sei auf eine unregistrierte Internet-Adresse gestoßen, über die das schädliche Programm verbreitet worden sei. Er habe die entsprechende Domain registriert, also ordnungsgemäß namentlich angemeldet. Dadurch wäre ein Schalter ("Kill Switch") aktiviert worden, der die Verbreitung der Schadsoftware stoppte.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Der Forscher erhielt viel Lob auf Twitter, nachdem die Zahl der neu infizierten Computer nach seiner Maßnahme stark zurückgegangen war. Mittlerweile gebe es wohl keine weiteren Infizierungen mit verseuchter Software.

Für eine endgültige Entwarnung sei es aber noch zu früh, sollten die Hacker den Schadcode ändern, könnte ein erneuter Angriff starten.

Wird gegen die Angreifer ermittelt?

Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

In Deutschland hat das Bundeskriminalamt BKA die Ermittlungen übernommen. Das teilte das Bundesinnenministerium am Samstag mit. Innenminister Thomas de Maizière betonte, der Angriff sei nicht der Erste seiner Art, aber besonders schwerwiegend.

Wie reagieren Politiker?

Innenminister Thomas de Maizière forderte, bis Ende der Legislaturperiode die offenen Fragen beim IT-Sicherheitsgesetz zu klären. "Ich hoffe, dass spätestens jetzt alle Beteiligten zügig ihrer Verantwortung nachkommen und meinen längst auf dem Tisch liegenden Vorschlägen zustimmen."

"Zudem sprechen die jetzigen Erkenntnisse dafür, dass wer unserem Rat folgt, regelmäßige Software-Updates durchzuführen, eine gute Wahrscheinlichkeit hatte, dem Angriff zu entgehen", betonte das Innenministerium.

Konstantin von Notz, der netzpolitische Sprecher der Grünen im Bundestag, sagte am Samstag: "Solche Attacken auf Krankenhäuser und andere Infrastrukturen sind lebensgefährlich." Sicherheitslücken würden auch von westlichen Geheimdiensten zur Informationsgewinnung bewusst offen gehalten und nun von Kriminellen und feindlich gesinnten Diensten ausgenutzt.

Die Finanzminister der sieben wichtigsten Industrieländer (G7) wiesen bei ihrem Treffen im italienischen Bari auf die wachsende Gefahr solcher Attacken hin. "Wir stellen fest, dass Cybervorfälle eine wachsende Gefahr für unsere Volkswirtschaften darstellen und angemessene, umfassende politische Antworten darauf für die gesamte Wirtschaft erforderlich sind", heißt es in einem Entwurf für die Abschlusserklärung des Treffens.

Wie kann man sich in Zukunft schützen?

Betriebssystem und Software sollten immer auf dem neuesten Stand gehalten werden. Außerdem sollte man die Warnungen von Experten beherzigen, nicht übereilt auf Links in E-Mails zu klicken, sondern Nachrichten zunächst auf Plausibilität zu prüfen. Und es ist ratsam, regelmäßig ein Back-up zu machen, um die eigenen Daten in Kopie parat zu haben.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Erpresser-Viren - wie kann ich mich schützen?

boj/dpa/AFP/Reuters
Die Wiedergabe wurde unterbrochen.