Zum Hauptinhalt springen

Attacke «Wanna Cry»: Warnung vor zweiter Welle

Wenn am Montag viele ihren PC im Büro anschalten, könnte die Erpresser-Software sich erneut verbreiten. 7 Fragen zum Cyber-Angriff, der Spitäler und Fabriken lahmlegte.

Markus Balser, Cerstin Gammelin, Helmut Martin-Jung, Hakan Tanriverdi
Aufgepasst beim Hochfahren, der Computer könnte durch Schadsoftware «verseucht» werden.
Aufgepasst beim Hochfahren, der Computer könnte durch Schadsoftware «verseucht» werden.
Keystone

Spitäler, Behörden, Unternehmen, Privatpersonen – die Attacke, bei der offenbar Kriminelle versuchen, Geld zu erpressen, macht keine Unterschiede. Weltweit hat die schädliche Software «Wanna Cry» Dateien auf Computern verschlüsselt – nur gegen Zahlung eines Lösegeldes sollen die Daten wieder lesbar gemacht werden. Der Angriff wirft viele Fragen auf, nachfolgend Antworten auf die wichtigsten davon.

Was genau ist passiert?

Der US-Geheimdienst NSA hatte basierend auf seinem Wissen über eine gravierende Lücke in Microsofts Betriebssystem Windows eine Software mit dem Codenamen Eternal Blue entwickelt, die diese Lücke ausnutzte. Im März hatte Microsoft eine Reparatursoftware für alle noch unterstützten Windows-Versionen zur Verfügung gestellt. Eine Gruppe von Hackern namens Shadow Brokers hatte eine grosse Menge an Dateien der NSA in die Hände bekommen und Mitte April ins Netz gestellt, darunter auch Eternal Blue. Unbekannte, vermutlich Kriminelle, haben die Software mit der Fähigkeit versehen, sich selbst weiterzuverbreiten und Dateien zu verschlüsseln. Diese Kombination ist neu, aber keineswegs besonders raffiniert. Weil auf vielen Computern Microsofts Reparatursoftware nicht aufgespielt wurde oder weil darauf eine nicht mehr unterstützte Windows-Version lief, konnte sich der digitale Schädling rasend schnell verbreiten.

Ist die Sache jetzt ausgestanden?

Nein, es gibt nur eine kurze Verschnaufpause. Das liegt an einem 22-jährigen IT-Sicherheitsforscher, dem auffiel, dass im Code der Erpresser-Software eine Website genannt wird. Wie sich zeigte, funktioniert diese wie ein Panikknopf. Infizierte Rechner versuchten Kontakt mit der noch gar nicht registrierten Seite aufzunehmen. Gelang dies nicht, wurde die Erpresser-Software aktiviert. Falls hingegen die Seite aufgerufen werden konnte, startete die schädliche Software nicht. Der Sicherheitsforscher liess darauf für rund 10 Dollar die Seite registrieren und aktivieren. Dadurch schaffte er es, den Angriff zum Erliegen zu bringen. Europol warnt jedoch, dass es schon bald eine zweite Welle des Angriffs geben könnte, wenn am Montag viele ihren Rechner im Büro wieder anschalten.

Video: Ein IT-Experte erklärt

«Das ist schlicht Erpressung»: Ben Rapp über den Ablauf der Cyber-Attacke. Video: Tamedia/AP

Wie gefährlich ist die Attacke?

Sie ist sehr gefährlich. Die von den Hackern verwendete Schwachstelle betrifft viele Versionen von Microsoft Windows, konkret geht es um die Freigabe von Laufwerken und Dateien. Diese Schwachstelle haben die Angreifer mit der Fähigkeit versehen, sich selbstständig zu verbreiten – Experten bezeichnen einen solchen Digitalschädling als Wurm. Hat er einen Computer befallen, prüft der Wurm, ob andere Systeme im selben Netz ebenfalls anfällig sind und kopiert sich weiter. Am Sonntagnachmittag waren laut Interpol 200'000 Systeme befallen.

Wer steckt hinter der Attacke?

Dazu gibt es bis dato nur Vermutungen, am wahrscheinlichsten ist aber, dass es sich um Kriminelle handelt, denen es um Geld ging. Erpressungssoftware gibt es seit etlichen Jahren. Neu am Fall von «Wanna Cry» ist die Methode der Verbreitung als Wurm. Womöglich wurden die Kriminellen davon überrascht, wie schnell sich die Software verbreitet hat. Dass die Attacke sich dermassen schnell und grossflächig ausbreitete, könnte ihnen zum Verhängnis werden, denn nun sind ihnen Behörden vieler Länder auf den Fersen. Es ist zwar angesichts von Verschlüsselungs- und Verschleierungsmöglichkeiten im Netz schwer möglich, allein anhand digitaler Spuren vorzugehen, doch früher oder später werden die Angreifer Spuren in der analogen Welt hinterlassen. Eine Möglichkeit zum Beispiel ist es, die Spur des Geldes zu verfolgen.

Wie reagieren die Industriestaaten?

Die westlichen Industriestaaten wollen verstärkt gemeinsam gegen Cyberkriminalität vorgehen. Bürger und Unternehmen sollen besser vor Attacken auf Kommunikationssysteme geschützt werden. Darauf verständigten sich am Samstag die Finanzminister der westlichen ­Industriestaaten. «Wir sehen, dass die Cyberangriffe eine wachsende Gefahr für unsere Volkswirtschaften darstellen», schreiben sie in der Abschlusserklärung des G-7-Finanzgipfels in Bari. Die G-7-Finanzminister diskutierten vor allem Massnahmen, mit denen das Risiko von Cyberattacken auf finanzielle Organisationen minimiert werden soll.

Wer kam bislang zu Schaden?

Diverse Institutionen und Firmen wurden Opfer der Attacke. Bei Renault musste die Fertigung in Sandouville im Norden Frankreichs gestoppt werden. In Deutschland wurden Anzeigetafeln an Perrons und Billettautomaten der Deutschen Bahn lahmgelegt. Im Visier des Cyberangriffs standen auch der US-Paketdienst Fedex, die spanische O2-Mutter Telefónica sowie Telekommunikationsanbieter in Portugal und Argentinien. In Grossbritannien mussten ­wegen der Störung der IT-Systeme im Gesundheitssystem NHS Rettungswagen in andere Kliniken umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt.

Bilder: «Wanna Cry» legt Spitäler und Fabriken lahm

«Ich bin kein Held»: IT-Experte Marcus Hutchins, der «Wanna Cry» stoppte. (15. Mai 2017)
«Ich bin kein Held»: IT-Experte Marcus Hutchins, der «Wanna Cry» stoppte. (15. Mai 2017)
Frank Augstein, Keystone
Diese Nachricht erscheint auf dem Bildschirm von Betroffenen.
Diese Nachricht erscheint auf dem Bildschirm von Betroffenen.
Ritchie B. Tongo, Keystone
Blick auf den Screen eines betroffenen Computers in Taiwan. (13. Mai 2017).
Blick auf den Screen eines betroffenen Computers in Taiwan. (13. Mai 2017).
Ritchie B. Tongo, Keystone
Über die Digitalwährung Bitcoin wurden von Freitag bis Montagabend bereits mindestens 55'000 Franken an Lösegeld an die Erpresser überwiesen.
Über die Digitalwährung Bitcoin wurden von Freitag bis Montagabend bereits mindestens 55'000 Franken an Lösegeld an die Erpresser überwiesen.
AP Photo/Mark Lennihan
Von der Attacke betroffen waren diverse Organisationen wie die Deutsche Bahn. Zahlreiche Anzeigetafeln funktionierten gar nicht oder nur fehlerhaft. Anzeige in Frankfurt am Main (13. Mai 2017).
Von der Attacke betroffen waren diverse Organisationen wie die Deutsche Bahn. Zahlreiche Anzeigetafeln funktionierten gar nicht oder nur fehlerhaft. Anzeige in Frankfurt am Main (13. Mai 2017).
Epa/Gernot Hensel
1 / 7

Was können Betroffene tun?

In einer perfekten Welt hätten alle Betroffenen regelmässig Back-ups erstellt. So wäre es nicht weiter dramatisch, dass die Rechner infiziert wurden, da sich die Systeme nun mit minimalem Verlust wiederherstellen lassen würden. Doch das ist offensichtlich nicht der Fall. Bislang haben die Angreifer mehr als 30'000 US-Dollar kassiert. Ist ein System betroffen und gibt es kein Back-up, raten Sicherheitsexperten und Behörden davon ab zu zahlen. Es ist nicht klar, dass die Angreifer ihr Versprechen auch wirklich einlösen und die Daten entschlüsseln. Viele IT-Sicherheitsexperten analysieren den Code der Erpresser-Software derzeit. Gut möglich, dass den Hackern Fehler unterlaufen sind und diese ausgenutzt werden können, um die Computer zu säubern und die verschlüsselten Dateien wieder zugänglich zu machen. Generell gilt: Betriebssysteme sowie Anwendungen immer auf dem neuesten Stand halten und Updates der Hersteller installieren.

Dieser Artikel wurde automatisch aus unserem alten Redaktionssystem auf unsere neue Website importiert. Falls Sie auf Darstellungsfehler stossen, bitten wir um Verständnis und einen Hinweis: community-feedback@tamedia.ch