Ermittlungen nach neuem Cyberangriff
28. Juni 2017
Nach Angaben der IT-Sicherheitsfirma Symantec und des Bundesamtes für Sicherheit und Informationstechnik (BSI) verbreitete sich die neue Erpressersoftware unter anderem über die gleiche Windows-Sicherheitslücke wie im Mai der Trojaner "WannaCry". Dieser hatte innerhalb eines Tages hunderttausende Computer in mehr als 150 Ländern infiziert. Der zweite Angriff breitete sich langsamer aus, zog dafür aber mehr internationale Unternehmen in Mitleidenschaft, unter anderem in Russland, Deutschland, Polen, Italien Großbritannien, Frankreich und den USA.
Betroffen waren etwa die weltweit größte Reederei Maersk mit Sitz in Dänemark, der US-Pharmakonzern Merck, die französische Bahn SNCF, der Lebensmittelgigant Mondelez ("Milka", "Oreo") und der russische Ölkonzern Rosneft. Besonders hart traf der Angriff Unternehmen und Behörden in der Ukraine. So musste an der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl nach dem Ausfall der Windows-Computer die Radioaktivität manuell gemessen werden. Auch die Webseite der Regierung und die ukrainische Zentralbank waren betroffen.
Chaos statt Profit
Nach Einschätzung von Experten ging es den Angreifern vor allem darum, Chaos anzurichten, und weniger um Profit: Zwar verlangten sie für die Freischaltung der durch die Software verschlüsselten Computer 300 Dollar in der Cyberwährung Bitcoin, bis Mittwochmorgen gingen jedoch nur 25 Zahlungen auf ein entsprechendes Konto ein. Grund dafür könnte sein, dass die Opfer aufgefordert wurden, sich per E-Mail zu erkennen zu geben, und der E-Mail-Anbieter Posteo die entsprechende Adresse aus dem Verkehr zog.
Da auch am Tag nach dem Angriff unklar blieb, wer hinter dem Virus steckt, nahmen die Behörden in mehreren Betroffenen Ländern Ermittlungen gegen Unbekannt auf. IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Schadsoftware der Angriff diesmal ausgeführt wurde. Während es zunächst hieß, es handele sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressersoftware "Peyta", kam das auf Sicherheitssoftware spezialisierte russische Unternehmen Kapersky zu dem Schluss, die Software tarne sich nur als "Peyta".
Die von dem Virus genutzte Windows-Sicherheitslücke war ursprünglich vom US-Geheimdienst NSA ausgenutzt und im vergangenen Jahr von Hackern öffentlich gemacht worden. Zwar ist seit Monaten ein Update verfügbar, das sie schließt, dieses scheint aber von vielen Firmen noch nicht installiert worden zu sein. Betroffen waren damals vor allem Privatpersonen, aber auch Unternehmen wie die Deutsche Bahn und Renault.
Auch Systeme auf aktuellem Stand gefährdet
Das BSI warnte davor, dass die neue Schadsoftware zusätzlich zu der Windows-Schwachstelle in internen Netzen ein gängiges Administrationswerkzeug zur Weiterverbreitung nutze und damit auch Systeme befallen könne, die auf aktuellem Stand seien.
Die Absicherung gegen Cyberangriffe bietet nicht nur IT-Firmen, sondern auch Versicherungen ein Geschäftsfeld. So stellte der der Versicherungsmarkt Lloyds of London am Mittwoch eine Studie vor, die er mit der Beratungsgesellschaft KPMG und der Anwaltskanzlei DAC Beachcroft erstellt hat. Demnach unterschätzen Unternehmen in Europa die langfristigen Kosten von Cyberangriffen.
"Es fehlt an Verständnis dafür, was ein Cyberangriff eigentlich ist", sagte Lloyds-Chefin Inga Beale. Lloyds of London bietet Versicherungen gegen Cyberangriffe an und hat nach eigenen Angaben einen Marktanteil von 20 bis 25 Prozent. Auch der US-Konzern AIG will in Europa vermehrt mit Cyber-Versicherungen wachsen, wie der zuständige Manager dem "Handelsblatt" sagte.
hk/stu/bea (dpa, rtr, ap)