Attacke «Wanna Cry»: Warnung vor zweiter Welle

Wenn am Montag viele ihren PC im Büro anschalten, könnte die Erpresser-Software sich erneut verbreiten. 7 Fragen zum Cyber-Angriff, der Spitäler und Fabriken lahmlegte.

Aufgepasst beim Hochfahren, der Computer könnte durch Schadsoftware «verseucht» werden.

Aufgepasst beim Hochfahren, der Computer könnte durch Schadsoftware «verseucht» werden. Bild: Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Spitäler, Behörden, Unternehmen, Privatpersonen – die Attacke, bei der offenbar Kriminelle versuchen, Geld zu erpressen, macht keine Unterschiede. Weltweit hat die schädliche Software «Wanna Cry» Dateien auf Computern verschlüsselt – nur gegen Zahlung eines Lösegeldes sollen die Daten wieder lesbar gemacht werden. Der Angriff wirft viele Fragen auf, nachfolgend Antworten auf die wichtigsten davon.

Was genau ist passiert?
Der US-Geheimdienst NSA hatte basierend auf seinem Wissen über eine gravierende Lücke in Microsofts Betriebssystem Windows eine Software mit dem Codenamen Eternal Blue entwickelt, die diese Lücke ausnutzte. Im März hatte Microsoft eine Reparatursoftware für alle noch unterstützten Windows-Versionen zur Verfügung gestellt. Eine Gruppe von Hackern namens Shadow Brokers hatte eine grosse Menge an Dateien der NSA in die Hände bekommen und Mitte April ins Netz gestellt, darunter auch Eternal Blue. Unbekannte, vermutlich Kriminelle, haben die Software mit der Fähigkeit versehen, sich selbst weiterzuverbreiten und Dateien zu verschlüsseln. Diese Kombination ist neu, aber keineswegs besonders raffiniert. Weil auf vielen Computern Microsofts Reparatursoftware nicht aufgespielt wurde oder weil darauf eine nicht mehr unterstützte Windows-Version lief, konnte sich der digitale Schädling rasend schnell verbreiten.

Umfrage

Wie vorsichtig sind Sie bezüglich Cyber-Angriffen?





Ist die Sache jetzt ausgestanden?
Nein, es gibt nur eine kurze Verschnaufpause. Das liegt an einem 22-jährigen IT-Sicherheitsforscher, dem auffiel, dass im Code der Erpresser-Software eine Website genannt wird. Wie sich zeigte, funktioniert diese wie ein Panikknopf. Infizierte Rechner versuchten Kontakt mit der noch gar nicht registrierten Seite aufzunehmen. Gelang dies nicht, wurde die Erpresser-Software aktiviert. Falls hingegen die Seite aufgerufen werden konnte, startete die schädliche Software nicht. Der Sicherheitsforscher liess darauf für rund 10 Dollar die Seite registrieren und aktivieren. Dadurch schaffte er es, den Angriff zum Erliegen zu bringen. Europol warnt jedoch, dass es schon bald eine zweite Welle des Angriffs geben könnte, wenn am Montag viele ihren Rechner im Büro wieder anschalten.

Video: Ein IT-Experte erklärt

«Das ist schlicht Erpressung»: Ben Rapp über den Ablauf der Cyber-Attacke. Video: Tamedia/AP

Wie gefährlich ist die Attacke?
Sie ist sehr gefährlich. Die von den Hackern verwendete Schwachstelle betrifft viele Versionen von Microsoft Windows, konkret geht es um die Freigabe von Laufwerken und Dateien. Diese Schwachstelle haben die Angreifer mit der Fähigkeit versehen, sich selbstständig zu verbreiten – Experten bezeichnen einen solchen Digitalschädling als Wurm. Hat er einen Computer befallen, prüft der Wurm, ob andere Systeme im selben Netz ebenfalls anfällig sind und kopiert sich weiter. Am Sonntagnachmittag waren laut Interpol 200'000 Systeme befallen.

Wer steckt hinter der Attacke?
Dazu gibt es bis dato nur Vermutungen, am wahrscheinlichsten ist aber, dass es sich um Kriminelle handelt, denen es um Geld ging. Erpressungssoftware gibt es seit etlichen Jahren. Neu am Fall von «Wanna Cry» ist die Methode der Verbreitung als Wurm. Womöglich wurden die Kriminellen davon überrascht, wie schnell sich die Software verbreitet hat. Dass die Attacke sich dermassen schnell und grossflächig ausbreitete, könnte ihnen zum Verhängnis werden, denn nun sind ihnen Behörden vieler Länder auf den Fersen. Es ist zwar angesichts von Verschlüsselungs- und Verschleierungsmöglichkeiten im Netz schwer möglich, allein anhand digitaler Spuren vorzugehen, doch früher oder später werden die Angreifer Spuren in der analogen Welt hinterlassen. Eine Möglichkeit zum Beispiel ist es, die Spur des Geldes zu verfolgen.

Wie reagieren die Industriestaaten?
Die westlichen Industriestaaten wollen verstärkt gemeinsam gegen Cyberkriminalität vorgehen. Bürger und Unternehmen sollen besser vor Attacken auf Kommunikationssysteme geschützt werden. Darauf verständigten sich am Samstag die Finanzminister der westlichen ­Industriestaaten. «Wir sehen, dass die Cyberangriffe eine wachsende Gefahr für unsere Volkswirtschaften darstellen», schreiben sie in der Abschlusserklärung des G-7-Finanzgipfels in Bari. Die G-7-Finanzminister diskutierten vor allem Massnahmen, mit denen das Risiko von Cyberattacken auf finanzielle Organisationen minimiert werden soll.

Wer kam bislang zu Schaden?
Diverse Institutionen und Firmen wurden Opfer der Attacke. Bei Renault musste die Fertigung in Sandouville im Norden Frankreichs gestoppt werden. In Deutschland wurden Anzeigetafeln an Perrons und Billettautomaten der Deutschen Bahn lahmgelegt. Im Visier des Cyberangriffs standen auch der US-Paketdienst Fedex, die spanische O2-Mutter Telefónica sowie Telekommunikationsanbieter in Portugal und Argentinien. In Grossbritannien mussten ­wegen der Störung der IT-Systeme im Gesundheitssystem NHS Rettungswagen in andere Kliniken umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt.

Bilder: «Wanna Cry» legt Spitäler und Fabriken lahm

Was können Betroffene tun?
In einer perfekten Welt hätten alle Betroffenen regelmässig Back-ups erstellt. So wäre es nicht weiter dramatisch, dass die Rechner infiziert wurden, da sich die Systeme nun mit minimalem Verlust wiederherstellen lassen würden. Doch das ist offensichtlich nicht der Fall. Bislang haben die Angreifer mehr als 30'000 US-Dollar kassiert. Ist ein System betroffen und gibt es kein Back-up, raten Sicherheitsexperten und Behörden davon ab zu zahlen. Es ist nicht klar, dass die Angreifer ihr Versprechen auch wirklich einlösen und die Daten entschlüsseln. Viele IT-Sicherheitsexperten analysieren den Code der Erpresser-Software derzeit. Gut möglich, dass den Hackern Fehler unterlaufen sind und diese ausgenutzt werden können, um die Computer zu säubern und die verschlüsselten Dateien wieder zugänglich zu machen. Generell gilt: Betriebssysteme sowie Anwendungen immer auf dem neuesten Stand halten und Updates der Hersteller installieren.

(Tages-Anzeiger)

Erstellt: 15.05.2017, 06:29 Uhr

Die Schweiz kam bis jetzt glimpflich davon

Auch in der Schweiz befiel die Schadsoftware «Wanna Cry» diverse Computersysteme. Zu Grossausfällen kam es allerdings bislang nicht. «Wir haben einzelne Meldungen von Privatpersonen und Firmen im KMU-Bereich erhalten», sagte Max Klaus, von der Melde- und Analysestelle des Bundes (Melani) gegenüber dem «SonntagsBlick». Betreiber kritischer Infrastrukturen wie Spitäler oder Energieversorger seien nach bisherigen Erkenntnissen nicht darunter. Bis am Sonntagnachmittag änderte sich nichts an dieser Einschätzung.

Dennoch ist die Schweizer Infrastruktur laut Sicherheitsexperten dem Risiko ausgesetzt, von künftigen Attacken dieser Art betroffen zu werden. «Viele öffentliche Einrichtungen setzen zwangsläufig auf veraltete Software wie Windows XP. Denn solange sie läuft, können sie Kosten sparen», sagte Gunnar Porada, Chef der IT-Sicherheitsfirma Innosec, zur «NZZ am Sonntag». In Industriebetrieben, Spitälern oder bei der Armee werde eine Vielzahl älterer Programme verwendet, die sich bewährt hätten. Oft wolle man es nicht riskieren, diese mit neueren Betriebssystemen laufen zu lassen. Zudem gebe es teilweise keine Updates für diese Programme, um sie auf neueren Betriebssystemen laufen zu lassen.

Trotz anderslautender Empfehlung gibt es laut Porada offenbar viele Firmen die dem Druck durch Cyber-Erpressungen nachgeben und zahlen. Wohl auch deshalb nehmen die Angriffe zu.

Im Schweizer Gesundheitswesen treten solche Erpresser-Attacken häufig, bei steigender Tendenz, zitiert die «NZZ am Sonntag» den Sicherheitsexperten Urs Achermann von der IT-Firma Hint. Bei seinen 15 Schweizer Kunden aus der Branche komme es insgesamt zu drei Erpresser-Attacken pro Monat.

Wie gross der wirtschaftliche Schaden durch die «Wanna Cry»-Attacke ist, blieb bislang unklar. Die Sicherheitsfirma Symantec geht von einem zweistelligen Millionen-Betrag aus, vor allem für die Überarbeitung von Firmen-Netzwerken. Neben Renault, der Deutschen Bahn, britischen Spitälern, FexEx und Telecom-Konzernen in Argentinien, Spanien und Portugal gehörte auch das russische Innenministerium zu den Opfern. Dort fielen rund 1000 Computer aus. In Schweden waren 70 Computer der Gemeinde Timrå betroffen. (map, SDA)

Artikel zum Thema

Was tun, wenn mein Computer befallen ist?

Video Auf keinen Fall bezahlen und immer Anzeige erstatten. Wie Opfer des Virus «Wanna Cry» reagieren sollten. Mehr...

200'000 Nutzer von Cyberattacke betroffen

Die Polizeibehörde Europol spricht nach der Cyberattacke «Wanna Cry» von einem Hackerangriff «bislang beispiellosen Ausmasses». Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Newsletter

Kurz, bündig, übersichtlich

Sonntags bis freitags ab 7 Uhr die besten Beiträge aus der Redaktion.
Newsletter «Der Morgen» jetzt abonnieren.

Kommentare

Newsletter

Kurz, bündig, übersichtlich

Sonntags bis freitags ab 7 Uhr die besten Beiträge aus der Redaktion.
Newsletter «Der Morgen» jetzt abonnieren.

Die Welt in Bildern

Ein Oman-Kuhnasenrochen schwimmt am 21.09.2017 in Düsseldorf (Nordrhein-Westfalen) bei einer Pressevorbesichtigung im Aquazoo Löbbecke Museum in seinem Wasserbecken und schaut in Richtung Besucher. Das Museum öffnet morgen wieder nach vier Jahren Sanierungspause. (KEYSTONE/DPA/Ina Fassbender)
Mehr...