1. Startseite
  2. >
  3. Deutschland & Welt
  4. >
  5. Weltweite Cyber-Attacke trifft Zehntausende Computer

BKA übernimmt Ermittlungen Weltweite Cyber-Attacke trifft Zehntausende Computer

Meist werden Verbraucher von Erpressungstrojanern erwischt, die Computer verschlüsseln und Lösegeld verlangen. Am Freitag traf es aber auch die Bahn, Krankenhäuser in Großbritannien und Russlands Innenministerium. Ein Forscher stoppte die globale Attacke.

11.05.2017, 23:01

Berlin/London (dpa) - Nach einer weltweiten Cyber-Attacke mit Zehntausenden lahmgelegten Computern hat das Bundeskriminalamt die Ermittlungen aufgenommen. Deutsche Regierungsnetze seien aber nicht betroffen gewesen, betonte das Bundesinnenministerium.

In Deutschland erwischte es Anzeigentafeln und Überwachungstechnik bei der Deutschen Bahn. In der Nacht zum Samstag wurde die Angriffswelle gestoppt, weil ein Experte auf eine Art "Notausschalter" in der Schadsoftware stieß.

Bis dahin entdeckte die IT-Sicherheitsfirma Avast rund 75 000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, die Ukraine und Taiwan. Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Es ging zunächst um 300 Dollar. Wenn nicht schnell bezahlt wurde, verdoppelte sich die Forderung.

Neu für diese Art von Schadsoftware war, dass sie von alleine neue Computer ansteckte, ohne dass ein Nutzer etwa auf einen präparierten Link klickte. Dadurch konnte sie sich binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmaß.

Das wurde erst möglich, weil das Programm laut Experten eine Sicherheitslücke ansteuerte, die ursprünglich der US-Abhördienst NSA für seine Überwachung nutzte. Vor einigen Monaten hatten Hacker sie aber öffentlich gemacht. Die Schwachstelle wurde zwar bereits im März grundsätzlich von Microsoft geschlossen - aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde.

Glücklicherweise scheinen die Angreifer eine Art Notbremse in ihr Programm eingebaut zu haben - und die Attacke wurde abgewürgt, nachdem ein IT-Forscher den Mechanismus auslöste. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Die Aktivierung reichte aus, um die Ausbreitung zu stoppen.

Denn das Angriffsprogramm versuche bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma Malwarebytes. Ist die Domain aktiv, bleibt die Attacke aus. Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, ihm sei zunächst gar nicht bewusst gewesen, dass er mit dem Schritt die Attacke stoppen würde. Er sei ein "Held durch Zufall", sagte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung "Guardian".

Zugleich warnten Experten, dass die Angreifer jederzeit mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen. Microsoft veröffentlichte außerplanmäßig ein Update, mit dem die Lücke auf eigentlich nicht mehr unterstützten Computern mit dem alten Betriebssystem Windows XP geschlossen werden kann.

Am Freitag hatten die Folge der Attacke viel Aufsehen erregt. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA den Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken - um die Ausbreitung der Schadsoftware zu verhindern, wie es hieß.

Die europäische Ermittlungsbehörde Europol sprach von einem "beispiellosen Ausmaß" der Attacke und regte ein internationales Vorgehen der Behörden an, um die Hintermänner zu finden.

Bei der Deutschen Bahn fielen teilweise digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen in Deutschland aus. Auch die Technik zur Videoüberwachung war einem Sprecher des Bundesinnenministeriums zufolge betroffen. Die Bahn war zunächst das einzige Unternehmen in Deutschland, von dem bekannt wurde, dass es betroffen war. Nach Angaben des Konzerns war der bundesweite Zugverkehr allerdings nicht beeinträchtigt.

In Großbritannien waren insgesamt 16 Krankenhäuser lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Menschen wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt und nicht genug getan, um seine zentralisierten IT-Systeme zu schützen.

Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Die Waffe der Angreifer war jetzt Experten zufolge die Schadsoftware "Wanna Decryptor", auch bekannt als "Wanna Cry".

Der Angriff zog weltweit Kreise. Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet. Die Netze anderer russischer Behörden hätten dem Angriff aber standgehalten, hieß es. In Schweden waren 70 Computer der Gemeinde Timrå betroffen, in Portugal der Telekom-Konzern Portugal Telecom.

Mitteilung des NHS - Englisch

Screenshot eines betroffenen Computers BBC-Tweet - Englisch

Bericht im "Guardian"

Analyse bei Malwarebytes

Bitcoin: Umstrittenes Digitalgeld aus dem Netz

Globale Cyber-Attacke schürt Angst vor Erpressungstrojanern

Was man zur weltweiten Cyber-Attacke wissen muss

Chaos in britischen Kliniken nach Cyber-Angriff

Der Effekt der Angriffswelle mit Erpressungstrojanern am Freitag war beispiellos. Schon im vergangenen Jahr wurden bei weitem nicht nur Verbraucher Opfer der sogenannten "Ransomware". Ein Überblick:

- KRANKENHÄUSER: Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es war die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheimgehalten.

- RATHÄUSER: Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.

- ÖFFENTLICHER NAHVERKEHR: In San Francisco konnte man Ende November kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Nach einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.