Baltimore steht still – wegen einer uralten Windows-Sicherheitslücke

Ein Verschlüsselungstrojaner hat die Verwaltung der US-Stadt lahmgelegt. Besonders pikant: Der Angriff wurde erst wegen der NSA überhaupt möglich.

«Unsere Computer sind im Moment ausser Betrieb»: Hinweiszettel beim Rathauseingang in Baltimore.

«Unsere Computer sind im Moment ausser Betrieb»: Hinweiszettel beim Rathauseingang in Baltimore. Bild: Stephanie Keith/Reuters

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Seit drei Wochen geht in den Behörden der US-Stadt Baltimore fast gar nichts mehr. Grundstückverkäufe werden nicht abgewickelt, keine Wasserrechnungen verschickt und selbst das Gesundheitswesen funktioniert nur noch eingeschränkt. Grund ist ein Cyberangriff, der am schon am 7. Mai stattgefunden hat. Unbekannte Cyberkriminelle haben um die 10'000 Computer in Ämtern und städtischen Diensten mit «Robin Hood» infiziert. Damit sich die Schadsoftware nicht weiterverbreitet, wurden diverse Systeme heruntergefahren. «Robin Hood» ist ein Verschlüsselungstrojaner, der den Zugang zu den Computern blockiert. Was das Ziel des Angriffs ist, wurde schnell klar: «Wir wollen nicht diskutieren, wir wollen Geld», schrieben sie: Total 13 Bitcoins, was nach dem aktuellen Stand der Cyberwährung etwa gut 114'000 Franken entspricht. Der erst vor kurzem eingesetzte Bürgermeister hat jedoch nicht die Absicht, das Lösegeld zu bezahlen. Denn Zahlungen machen solche Erpressungen nur umso attraktiver. Ausserdem gibt es keine Garantie, dass die Verbrecher ihr Wort halten und die befallenen Computer freigeben. Im Gegenteil: Gemäss «Forbes» erhalten nur etwa 19 Prozent der zahlungsbereiten Opfer ihre Daten zurück.

Die Spionagewerkzeuge der NSA

Was den Fall Baltimore besonders pikant macht, ist die Sicherheitslücke, mit der die Schadsoftware eingeschleust wurde. Gemäss einem Bericht der «New York Times» handelt es sich um «Eternal Blue». Das ist eine Sicherheitslücke in Windows, die es den Angreifern erlaubt, ins System einzudringen und beliebigen Code auszuführen. Die Sicherheitslücke wurde von der NSA entdeckt und während mehr als fünf Jahren für eigene Zwecke genutzt. Doch 2017 kam der NSA dieses Einbruchswerkzeug abhanden: Eine Gruppe anonymer Hacker namens The Shadow Brokers hatte sich Zugang zum US-Auslandsgeheimdienst verschafft und mehrere der erbeuteten Spionageprogramme und Informationen zu Sicherheitslücken wie «Eternal Blue» veröffentlicht.

Seitdem werden die NSA-Programme und die Sicherheitslücken immer wieder für Angriffe wie den auf die Stadt Baltimore genutzt: Auch der Verschlüsselungstrojaner «WannaCry», der im Mai 2017 für riesige Schäden gesorgt hatte, basierte auf «Eternal Blue». Damals waren staatliche Institutionen und Unternehmen in über 90 Ländern betroffen, unter anderem die spanische Telko Telefónica und der US-Logistiker Fedex. Besonders schlimm waren die Folgen für den britischen National Health Service (NHS), wo in manchen Kliniken nur noch Notfälle behandelt werden konnten, weil Patientendaten nicht mehr verfügbar waren. Nur wenig später, im Juni 2017, wurde die Schadsoftware «Petya» für einen Angriff auf die Ukraine verwendet, wo unter anderem die Nationalbank betroffen war.

Die Sicherheitslücke, die die NSA und die Hacker verwendet haben, sind natürlich längst geschlossen: Microsoft hat bereits im April 2017 Updates für die betroffenen Windows-Versionen bereitgestellt. Wie kann es sein, dass Städte und Behörden ihre Systeme auch Jahre später noch nicht ausreichend abgesichert haben?

Uralte Server und verzweigte Netzwerke

«Ars Technica» schreibt, dass die öffentlich zugänglichen Daten von Sicherheits-Scans zeigen würden, dass viele Organisationen nicht viel mehr gemacht hätten, als «ein paar Pflaster über die grossen Sicherheitslücken zu kleben». Auch die Administratoren in Baltimore kämpfen offenbar mit dem Gewirr von Software, den alternden Servern und den verstreuten Netzwerken der Stadt, erklärt «Ars Technica».

Tipps, wie sich Privatanwender schützen.

Und nicht nur das: Auch Hunderte Schulen und viele lokale Behörden hätten ungeschützte Systeme, die anfällig für solche Angriffe sind. Experten des Sicherheitsunternehmens Eset sagen, dass die Lücke weiterhin hunderttausendfach täglich ausgenutzt werde, mit einem starken Anstieg seit März 2019. Mehr als eine Million Computer weltweit seien noch immer ungeschützt und über das Internet zugänglich. Die meisten dieser Maschinen befinden sich in den USA, gefolgt von Japan und Russland.

Erstellt: 27.05.2019, 15:08 Uhr

Artikel zum Thema

Attacke «Wanna Cry»: Warnung vor zweiter Welle

Wenn am Montag viele ihren PC im Büro anschalten, könnte die Erpresser-Software sich erneut verbreiten. 7 Fragen zum Cyber-Angriff, der Spitäler und Fabriken lahmlegte. Mehr...

Auch Hacker arbeiten von neun bis fünf

2,2 Millionen Windows-User haben mit einem Update einer beliebten Software kürzlich eine mysteriöse Schadsoftware erhalten. Nun kommen Ermittler der Sache auf die Spur. Mehr...

Hunderttausende Asus-Computer mit Virus infiziert

Die Schadsoftware wurde offenbar über die automatische Update-Funktion ausgeliefert – eine zunehmend beliebte Angriffsmethode. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blogs

Geldblog So vermeiden Sie ATM-Frust im Ausland

Mamablog Bin ich jetzt der Mann? 

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Die Welt in Bildern

Kunst in der Luft: Seifenblasen machen Spass vor dem Louvre in Paris. (19. Juli 2019)
(Bild: Alain Jocard) Mehr...