Neue Cyber-Attacke zum Wochenstart?
14. Mai 2017
Europol-Direktor Rob Wainwright sprach von einer Bedrohung, die eskalieren könne. Er befürchte, dass es von Montag an weitere Ausfälle im IT-Bereich geben werde, sagte der Chef der europäischen Polizeibehörde.
Der britische IT-Forscher, der die Ausbreitung des sogenannten Erpressungstrojaners mittels einer von den Urhebern selbst eingebauten "Notbremse" am Freitag gestoppt hatte, glaubt ebenfalls an eine baldige neue Attacke. "Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören", so der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. Es sei kein großer technischer Aufwand, den Software-Code zu ändern und eine neue Angriffswelle zu starten.
Ähnlich äußerte sich Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. "Ich gehe davon aus, dass es von dieser Attacke früher oder später eine weitere Welle geben wird", sagte Trost der Deutschen Presse-Agentur (dpa). Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert.
Viele Staaten betroffen
Bei der Attacke am Wochenende waren laut Europol rund 150.000 Computersysteme in 150 Ländern lahmgelegt worden. Schwerpunkte lagen in Großbritannien, Russland und der Ukraine. Die Trojaner verschlüsseln die befallenen Rechner und verlangen ein Lösegeld.
Tausende Unternehmen und Verbraucher stehen unterdessen vor der Frage, ob sie in Kauf nehmen, dass ihre Daten in wenigen Tagen unwiederbringlich verloren gehen könnten - oder ob sie das geforderte Lösegeld bezahlen. Die Angreifer haben straffe Fristen gesetzt: Jetzt wollen sie 300 Dollar für die Entsperrung, ab dem 15. Mai das doppelte - und am 19. Mai werden alle Daten angeblich gelöscht.
Ansteckung von alleine
In einigen früheren Fällen war es gelungen, den Verschlüsselungsmechanismus der Angreifer auszuhebeln. Diesmal wird das aber allein schon durch das kleine Zeitfenster erschwert. Neu an dem Angriff von Freitag war, dass der Erpressungstrojaner von alleine neue Computer ansteckte, ohne dass ein Nutzer etwa auf einen präparierten Link klickte. Dadurch konnte sich das Schadprogramm binnen weniger Stunden weltweit ausbreiten.
Das wurde erst möglich, weil das Programm laut Experten eine Sicherheitslücke ansteuerte, die ursprünglich der US-Abhördienst NSA für seine Überwachung nutzte. Vor einigen Monaten hatten Hacker sie aber öffentlich gemacht. Microsoft hatte zwar schon Anfang des Jahres ein Update veröffentlicht, das die Schwachstelle schloss - aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde. Nach der Attacke stellte der Konzern schnell auch ein Update für das veraltete Windows XP bereit, das eigentlich nicht mehr gewartet wird. Die Attacke traf laut Experten viele XP-Rechner.
Am Freitag hatten die Folgen der Cyber-Attacke viel Aufsehen erregt. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA den Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken - um die Ausbreitung der Schadsoftware zu verhindern, wie es hieß.
Bei der Deutschen Bahn fielen teilweise digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen aus. Auch die Technik zur Videoüberwachung war einem Sprecher des Bundesinnenministeriums zufolge betroffen. Nach Angaben des Konzerns wurde der bundesweite Zugverkehr allerdings nicht beeinträchtigt.
Auch das BKA ermittelt
Europol hatte von einem "beispiellosen Ausmaß" der Attacke gesprochen und ein internationales Vorgehen der Behörden angeregt, um die Hintermänner zu finden. In Deutschland übernahm das Bundeskriminalamt die Ermittlungen.
Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Klassische Antiviren-Software ist bei solchen Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware.
haz/wa (rtr, dpa)