Was "Petya" anrichtet - und wie
28. Juni 2017
Den russische Ölkonzern Rosneft traf es sehr früh. Kurz darauf kam die ukrainische Zentralbank mit der Meldung, dass auch ihre Systeme betroffen seien. Zwei Stunden später war in der Hauptstadt Kiew von einem massiven Hackerangriff die Rede. Während die erwähnte Zentralbank noch von einem "unbekannten Virus" berichtete, teilte ein anderes ukrainisches Unternehmen der Nachrichtenagentur dpa mit: Der Virus heiße "Petya.A".
Ein alter Bekannter
Spätestens da horchten Fachleute auf, die sich bereits länger mit solchen Angriffen beschäftigen. Denn die Schadsoftware "Petya" ist ein alter Bekannter. Der finnische IT-Experte Mikko Hypponen stellte fest, "Petya" nutze die - bereits bekannte - "EternalBlue"-Sicherheitslücke in Windows-Betriebssystemen, die einst auch der US-Geheimdienst NSA ausgenutzt hatte. Und - noch erschreckender: Updates zur Behebung des Schadens ("system patches") könnten vielleicht ins Leere laufen.
Längst hatte sich das Problem da schon international ausgeweitet: Die Container-Reederei Maersk in Kopenhagen, der Lebensmittel-Riese Mondelez in der Schweiz oder die französische Bahn SNCF meldeten Ausfälle. Eine Anwaltskanzlei in Madrid, eine große Werbeagentur in London, die Deutsche Post, Beiersdorf in Hamburg und etliche andere Unternehmen schauten auf Mitarbeiter, die auf ihre Bildschirme schauten - und nichts mehr machen konnten: Die Festplatten waren blockiert.
Inzwischen war in Deutschland das auch für solche Fälle zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) auf den Plan getreten. BSI-Präsident Arne Schönbohm machte in seiner Erklärung gleich zwei alte Bekannte ausfindig: "Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte." Zur Erinnerung: "WannaCry" war der Erpressungs-Trojaner (Ransomware), der vor Wochen weltweit sein Unwesen getrieben und unter anderem einen beträchtlichen Teil britischer Krankenhäuser lahmgelegt hatte. Zu einem anderen Schluss kam dagegen die IT-Sicherheitsfirma Kaspersky: Die neue Erpressungs-Software sei gar nicht "Petya", sondern tarne sich nur so. Den betroffenen Firmen mit den blockierten Rechnern dürfte das wurscht sein.
Tschernobyl: "Verbindungsabbruch einiger Windows-Systeme"
Und während die Experten so analysierten, kam die Alarmmeldung aus einem Ort, von dem man lieber keine Alarmmeldungen lesen wollte: Tschernobyl - der einbetonierte Unglücksreaktor! Dort mussten die Behörden ihre Strahlenmessungen nun manuell vornehmen. Grund sei der "vorübergehende Verbindungsabbruch einiger Windows-Systeme", hieß es laut Reuters in einer offiziellen Erklärung. Also Microsoft als Einfallstor für die Trojaner? EinMicrosoft-Statement in einem Blog ließ Nutzer noch Anfang Juni in dem Glauben, dass die jüngste Version Windows 10 weitgehend resistent gegen den Schund namens "WannaCry" sei - wenn man sie immer schön auf dem Laufenden halte.
Ein Update zu wenig
Doch möglicherweise kann selbst das letzte Update ein Update zu wenig sein. Das BSI wies zwar darauf hin, dass Microsoft nach dem Ärger mit "WannaCry" ein Sicherheitsupdate bereitgestellt habe, um die Schwachstelle zu schließen. So sei "in vielen Fällen eine Infektion verhindert" worden.
Doch "viele" sind eben nicht "alle" Fälle, wie Behördenchef Schönbohm in nicht ganz leicht verständlichen Worten einräumte: "In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind." Frank Grabsch, der Sprecher des Chaos Computer Clubs, drückte sich im Gespräch mit dem RBB Inforadio einfacher aus: "Das ist der Grund, warum sich dieser Virus auch auf Windows 10-Systemen weiterverbreiten kann, sich durch große Netzwerke fräst und da quasi alles mitnimmt, was er irgendwie runterreißen kann."
Mail-Adresse vom Netz
Wo das Zeug herkommt, weiß kein Mensch so genau. Zuletzt hatten Fachleute die Nordkoreaner im Verdacht. Fast reflexartig nahmen die Ukrainer die Russen ins Visier. Reagiert hatte da längst der Berliner Mail-Anbieter Posteo. Die Hacker, die umgerechnet 300 Dollar in der Krypto-Werbung Bitcoin von ihren Opfern verlangten, hatten dort eine Mailadresse eingerichtet. Die ist nun vom Netz. Das BSI empfiehlt ohnehin, in solchen Fällen auf keinen Fall zu zahlen. Denn wer garantiert, dass danach die Daten wieder freigegeben werden? Stattdessen solle man zur Polizei gehen - schließlich handele es sich um eine Form "digitaler Erpressung".