NACHRICHTEN
13/05/2017 08:41 CEST | Aktualisiert 13/05/2017 08:45 CEST

Weltweite Cyber-Attacke blockiert zehntausende Computer

DaLiu via Getty Images
Conceptual cyber attack code

  • Eine weltweite Cyber-Attacke hat am Freitag Computer von Unternehmen, Behörden und Krankenhäusern lahmgelegt

  • In Deutschland war die Deutsche Bahn betroffen

  • Die Angreifer nutzten eine Sicherheitslücke, die zuerst der US-Geheimdienst NSA entdeckt hatte

Eine weltweite Cyber-Attacke hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern lahmgelegt. In Deutschland erwischte es Rechner bei der Deutschen Bahn - Anzeigentafeln an den Bahnhöfen zeigten Fehlermeldungen.

Die IT-Sicherheitsfirma Avast entdeckte rund 75.000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan.

In der Nacht zum Samstag wurde die Angriffswelle gestoppt, weil ein IT-Sicherheitsforscher auf eine Art "Notausschalter" in der Schadsoftware stieß.

Die Sicherheitslücke wurde von der NSA entdeckt

Die Computer wurden von sogenannten Erpressungstrojanern befallen. Die Ransomware WannaCry (auch WannaCrypt, WanaCrypt0r, Wcrypt oder WCRY genannt) verschlüsselt Daten der attackierten Geräte und und kann diese löschen, wenn das Opfer kein Lösegeld zahlt.

Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde.

Geheimdienste suchen gezielt nach solchen Schwachstellen, um sie heimlich auszunutzen. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Lücke eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht - und das rächte sich jetzt.

Durch Zufall konnte die Attacke gestoppt werden

Die Angreifer scheinen eine Art Notbremse in ihr Programm eingebaut zu haben - und die Attacke wurde abgewürgt, nachdem ein IT-Forscher den Mechanismus auslöste. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Das reichte aus, um die Ausbreitung zu stoppen.

Denn das Angriffsprogramm versucht bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma Malwarebytes in einer Analyse. Ist sie aktiv, bleibt die Attacke aus. Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke stoppen würde. Er sei ein "Held durch Zufall", sagte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung "Guardian".

Zugleich warnten Experten, dass die Angreifer mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen.

Krankenhäuser in Großbritannien lahmgelegt

Am Freitag hatten die Folge der Attacke für Aufsehen gesorgt. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA den Versanddienst FedEx.

Die Deutsche Bahn erklärte, es gebe wegen "eines Trojanerangriffs im Bereich der DB Netz AG" Systemausfälle in verschiedenen Bereichen. "Der Bahnbetrieb ist durch den Trojaner nicht beeinträchtigt. Es gibt keine Einschränkungen im Fern- und Nahverkehr", heißt es am frühem Samstagmorgen.

deutsche bahn

An den Bahnhöfen gebe es aber noch technische Störungen an den digitalen Anzeigentafeln. Die Bahn arbeite mit Hochdruck daran, die Störung zu beheben, doch sei bis zum Nachmittag mit Beeinträchtigungen zu rechnen.

In Großbritannien waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Zum Teil mussten Patienten in andere Krankenhäuser umgeleitet werden.

hacking

Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den NHS gerichtet gewesen. Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt und nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.

Auch Russland war betroffen

Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. In der aktuellen Version konnten infizierte Computer auch andere Rechner im Netzwerk anstecken.

Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Eine derart verheerende Attacke wie am Freitag gab es noch nicht.

Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet.

Leserumfrage: Wie fandet ihr uns heute?

2017-03-08-1488965563-6721107-iStock482232067.jpg

Sponsored by Trentino