Die Epidemie: Die jüngsten Cyberattacken zeigen, wie groß die Gefahr durch Hacker ist

Veröffentlicht: Aktualisiert:
CYBERATTACK
Vor 6 Wochen legte Wannacry Hunderttausende Computer lahm, jetzt hat der Virus Petya dutzende Unternehmen weltweit befallen. Das zeigt: Cyberattacken häufen sich - und nehmen gefährliche Dimensionen an | Kacper Pempel / Reuters
Drucken
  • Am Dienstag hat eine Cyberattacke dutzende Unternehmen weltweit lahmgelegt
  • Die Angreifer verwendeten den Trojaner Petya, um in die Computersysteme einzudringen
  • Die Schadsoftware funktionierte ähnlich wie zuvor Wannacry - das müsst ihr über die Attacke wissen

Es ist erst gut sechs Wochen her, dass die Schadsoftware Wannacry hunderttausende Computer auf der ganzen Welt lahmgelegt hat - und Nutzern den Zugang zu ihren Daten verweigert hat.

Am Dienstag hat jetzt ein neuer Virus dutzende Unternehmen auf der ganzen Welt befallen. Zuerst in der Ukraine, dann auch in Spanien, Israel, Deutschland, Russland, den Niederlanden und den USA.

Auf eine besondere Branche hatten es die Hacker offenbar nicht abgesehen. Betroffen waren Banken, der Schiffahrtsgigant Maersk, Russlands staatlicher Ölkonzern Rosneft und der Lebensmittelriese Mondelez. Vom Pharmaunternehmen Merck bis zum Kernreaktor in Tschernobyl - nichts war vor "Petya", so der Name der Schadsoftware, sicher.

Das zeigt: Cyberattacken werden immer häufiger. Und sie nehmen in ihrer Willkür, in der Geschwindigkeit mit der sie sich verbreiten und in ihrem finanziellen Schaden immer gefährlichere Dimensionen an.

Das müsst ihr über den Angriff wissen.

1. Wie funktionieren die Cyberattacken?

Eine Cyberattacke ist ein gezielter Angriff auf ein System von Computern von außen. In der Regel handelt es sich nicht um einzelne Computer sondern um größere Rechensysteme.

Ziel dieser Angriffe können zwar auch Regierungen oder Ämter sein, meistens konzentrieren sich die Attacken aber auf Unternehmen.

Seit einigen Jahren werden diese Attacken vermehrt mit Ransomware durchgeführt. Diese gelangt über verseuchte Links, über Sicherheitslücken im Browser oder über Software, meistens Freeware, auf den Computer. Sobald das Schadprogramm auf den Rechner gelangt ist, verschlüsselt es alle vorhandenen Dateien.

Das Ziel: Geld. Denn um die Dateien wieder lesbar zu machen, verlangen die Cyberkriminellen ein Lösegeld - daher auch der Name Ransomware (englisch Ransom = Lösegeld).

Auch wenn es sich sowohl bei Wannacry als auch bei Petya um Ransomeware handelt, gibt es natürlich noch andere Möglichkeiten, Unternehmen mit Cyberattacken lahmzulegen.

2. Welcher Virus wurde am Dienstag verwendet?

Der Angriff am Dienstag wurde mit der Randsomware Petya ausgeführt. "Das Erfolgskonzept liegt darin, dass die Ransomware mit einer Wurmkomponente gepaart ist", erklärt Christian Funk vom Sicherheitssoftware-Unternehmen Kaspersky Lab der HuffPost.

Durch den Wurm schafft es die Schadsoftware, sich selbst zu vervielfältigen - und so rasend schnell auszubreiten. Im Fall von Petya seien sogar zwei Wurm-Codes verwendet worden, sagt Funk.

Petya kann Rechner infizieren, bei dem Sicherheitslücken durch das neueste Software-Update noch nicht geschlossen sind. Dann verbreitet es sich durch die Wurm-Komponente selbstständig weiter - auf alle Rechner, die mit ihm in einem Netzwerk verbunden sind.

Petya nutzte gleich zwei Lücken in Microsofts Windows-Betriebssystemen. "Man geht davon aus, dass diese Lücken von der NSA genutzt wurden", sagt Funk. Durch eine Hackergruppe namens "Shadow Brokers" sei die Lücke veröffentlicht worden - und so in die Hände von Cyberkriminellen gelangt.

Allerdings hatte Microsoft die Lücke bereits geschlossen. Denn auch Wannacry wurde über das gleiche Sicherheitsleck verbreitet. Es hätte also eine Möglichkeit gegeben, sich vor dem Petya-Angriff zu schützen, betont Funk.

Falk Garbsch, der Sprecher des Chaos Computer Clubs, sagte im RBB-Inforadio: Der neue Virus setzte nicht nur auf die Sicherheitslücke, die bereits von der NSA ausgenutzt wurde, sondern auch auf andere. "Das ist der Grund, warum sich dieser Virus auch auf Windows 10-Systemen weiterverbreiten kann, sich durch große Netzwerke fräst und da quasi alles mitnimmt, was er irgendwie runterreißen kann."

Es reiche im Zweifelsfall aus, wenn ein einzelner Rechner in einem Firmennetzwerk infiziert werde.

3. Wie lief die Attacke ab?

"Momentan geht man davon aus, dass sich die Ransomware über eine ukrainische Software für die elektronische Steuererklärung verbreitet hat", sagt Funk. Daher habe sich die Schadsoftware auch zunächst im ukrainischen Raum ausgebreitet.

Kaspersky Lab geht davon aus, dass am Dienstag rund 2000 Angriffe stattgefunden haben. Die meisten in der Ukraine und Russland, aber auch in Deutschland, Polen, Italien, Frankreich und den USA.

Petya breitete sich zwar langsamer aus als der Wannacry-Trojaner, griff aber weitaus mehr internationale Unternehmen an.

Laut Funk kann es entweder mehrere Initialzündungen gegeben haben. Oder der Trojaner habe sich über Netzwerke verbreitet, die Unternehmen gemeinsam nutzen und sie verbinden. Es bestehe durchaus die Möglichkeit, dass sich die Schadsoftware nur durch die alleinige Infektion der ukrainischen Steuersoftware fortgetragen habe.

4. Wer steckt hinter den Attacken?

Zum jetzigen Zeitpunkt können die Hintermänner des Angriffs nicht identifiziert werden. "Das Motiv ist in erster Linie monetär", stellt Funk klar. Die Erpresser verlangten die Zahlung von 300 Dollar in der Internet-Währung Bitcoin, um die Daten wieder zu entschlüsseln.

Das Problem der Erpressungsopfer: Die Mails mit den Bitcoin-Überweisungen liefen über den Mail-Server des deutschen Anbieters Posteo.

Und das hat die Adresse mittlerweile gesperrt, da "es keinen Missbrauch irgendeiner Art auf der Plattform toleriere", wie Posteo mitteilte. Betroffene Unternehmen haben also momentan keine Möglichkeit mehr, das Lösegeld zu zahlen und ihre Daten zurückzubekommen.

"Es ist allerdings zweifelhaft, dass die Zahlung etwas hilft und die Kriminellen die Daten überhaupt entschlüsseln", sagt Funk.

Der Betrag von 300 Dollar erscheint zwar gering, ist laut Funk aber durchaus "an der unteren Grenze im Normalbereich" für einen Ransomware-Angriff.

Denn: Die 300 Dollar gelten pro Rechner. Sind in einem Unternehmen 1000 Rechner betroffen, haben die Verbrecher schnell ein kleines Vermögen erbeutet.

Andere Experten vermuten, dass Profit nicht das Motiv der Täter war: Der Bezahlvorgang sei sehr kompliziert gewesen, die Email-Adresse konnte rasch gesperrt werden.

Pointiert und meinungsstark: Der HuffPost-WhatsApp-Newsletter

2016-07-22-1469180154-5042522-trans.png

Der Sicherheitsforscher Nicholas Weaver vom International Computer Science Institute schätzt, dass es sich wohl um einen "absichtlichen, bösartigen und destruktiven Angriff" handelte oder vielleicht um einen als Erpressungstrojaner getarnten Test.

Trotzdem hätten die Erpresser bisher knapp 8000 Euro an dem Angriff verdient.

5. Werden die Attacken häufiger?

Die Petya-Attacke wird wohl leider nicht die letzte Ransomware-Attacke gewesen sein.

Laut Funk gebe es die Entwicklung schon seit Jahren, dass Attacken in immer kürzeren Zeitspannen kommen.

"Die Schlagzahl ist schon sehr sehr hoch." Mit Wannacry habe sich die Büchse der Pandora geöffnet. "Man musste davon ausgehen, dass dieses Erfolgskonzept kopiert wird", sagt Funk. "Das wird nicht der letzte Angriff gewesen sein."

Schuld daran ist auf der einen Seite die rasant ansteigende Vernetzung. Immer mehr Geräte sind mit dem Internet verbunden. Unternehmen nutzen immer mehr Daten und immer mehr Dienste arbeiten mit onlinebasierten Speicher- und Serverdiensten, der Cloud.

Auf der anderen Seite werden natürlich auch die Kriminellen immer gewiefter, die Mittel zur Verbreitung immer weiter verfeinert.

Die Folgen können verheerend sein. Auch wenn das Ausmaß des wirtschaftlichen Schadens, der durch die Attacke am Dienstag entstanden ist, noch nicht auszumessen ist.

Besonders für kleine und mittlere Unternehmen kann so ein Angriff der Todesstoß sein, wenn sie von ihren Dateien kein Back-up haben.

Mehr zum Thema: Unbekannte Hacker haben den Bundestag angegriffen - 10 Abgeordnete sind betroffen

Leserumfrage: Wie fandet ihr uns heute?

2017-03-08-1488965563-6721107-iStock482232067.jpg

(mf)

Korrektur anregen