Eine weltweite Welle von Cyber-Attacken hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern getroffen. In Deutschland erwischte es Rechner bei der Deutschen Bahn - Fahrgäste fotografierten Anzeigentafeln mit Fehlermeldungen. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefonica betroffen und in den USA den Versanddienst FedEx.
Bei der weltweiten Cyber-Attacke mit Schadsoftware sind erste Meldungen von betroffenen Firmen in Österreich eingegangen. Es gebe vorerst "weniger als ein Dutzend Fälle", sagte Vincenz Kriegs-Au, Pressesprecher des Bundeskriminalamts (BK), am Samstagnachmittag zur APA. Angegriffen wurden demnach Unternehmen aus verschiedenen Branchen - etwa ein Hotel und ein Technologie-Unternehmen.
Anzeige empfohlen
Betroffene sollen auf jeden Fall Anzeige erstatten, betont Kriegs-Au. "Wir können nur mit jenen Daten arbeiten, die wir bekommen", sagt der Sprecher. Die Schadsoftware sollte am besten auf einem USB-Stick oder einer externen Festplatte sichergestellt werden. Außerdem sind Screenshots hilfreich.
"Von einer Bezahlung des Lösegeldes raten wir ab", fügte Kriegs-Au hinzu. Wenn schon etwas bezahlt wurde, dann solle die "Wallet-Adresse" der Bitcoins gesichert werden. Diese könne entweder fotografiert oder aufgeschrieben werden.
Renault stoppte Produktion
Der Autobauer Renault hat an mehreren Standorten in Frankreich die Produktion eingestellt. Die Entscheidung ist Teil der Schutzmaßnahmen, mit der einer Verbreitung des Virus vorgebeugt werden solle. Von Gewerkschaftsseite hieß es, vor allem sei das Werk Sandouville in der Normandie betroffen.
IT-Sicherheitsexperten haben indes einen "Notschalter" entdeckt, der die Verbreitung der erpresserischen Schadsoftware Wanna Decryptor stoppen konnte. Bereits befallenen Systemen hilft das leider nichts.
Bitcoins gefordert
Bei den Attacken mit Erpressungstrojanern am Freitag wurde - wie oft in solchen Fällen - Lösegeld in der Digitalwährung Bitcoin gefordert. Das Online-Geld ist seit 2009 im Umlauf. Bitcoins werden in komplizierten Rechen-Prozessen erzeugt, können aber auch im Internet mit etablierten Währungen wie Dollar oder Euro gekauft werden. Sie kommen vor allem bei Zahlungen im Internet zum Einsatz.
Erpressungstrojaner
Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Die Schwachstelle wurde zwar bereits im März von Microsoft grundsätzlich geschlossen - aber geschützt waren nur Computer, auf denen das Update installiert wurde.
Die Schadsoftware "Wanna Decryptor" ist auch bekannt als "Wanna Cry". Sie missbrauchte eine einst von der NSA ausgenutzte Sicherheitslücke. Geheimdienste suchen gezielt nach solchen Schwachstellen, um sie heimlich auszunutzen. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Lücke eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht - und das rächte sich jetzt.
Die IT-Sicherheitsfirma Avast entdeckte rund 75.000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan. Ihre Kollegen von Kaspersky Lab sprachen zuvor von zwischenzeitlich 45.000 Angriffen in 74 Ländern. Es sei eindeutig eine weltweite Attacke mit Meldungen über befallene Computer aus diversen europäischen Ländern, Russland und auch Asien, sagte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes der Deutschen Presse-Agentur.
Die Bahn teilte in der Nacht zum Samstag auf ihrer Website mit, es gebe Systemausfälle in verschiedenen Bereichen. "Zugverkehr ist weiterhin möglich", hieß es.
Krankenhäuser lahmgelegt
In Großbritannien waren Krankenhäuser in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen. Zum Teil mussten Patienten in andere Krankenhäuser umgeleitet werden.
Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den NHS gerichtet gewesen. Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nichts gelernt. Verantwortlich für den Angriff seien Kriminelle, aber der NHS habe nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem zwei Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.
Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. In der aktuellen Version konnten infizierte Computer auch andere Rechner im Netzwerk anstecken.
Klassische Antiviren-Software oft machtlos
Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es in Deutschland zum Beispiel aber auch Gemeindeverwaltungen. Eine derart verheerende Attacke wie am Freitag gab es noch nicht.
"Alle, die mit kritischen Infrastrukturen zu tun haben, sollten dringend prüfen, ob ihre Systeme auf dem aktuellen Stand sind", betonte Husemann von Malwarebytes. Microsoft fügte am Freitag Erkennung und Schutz gegen die neue Variante der Software hinzu.
Für Freigabe bezahlen
In Schweden waren 70 Computer der Gemeinde Timra betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15.00 Uhr seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, hätten sie die Meldung bekommen, dass die Daten verschlüsselt seien und sie für die Freigabe bezahlen müssten.
Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Die PT-Homepage war am Abend nicht abrufbar. Man sei von Hackern attackiert worden, die Lösegeld gefordert hätten, bestätigte ein Firmensprecher. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen.
FedEx in den USA entschuldigte sich bei Kunden für Ausfälle durch den Angriff. Die spanische Telefonica bestätigte einen "Cybersicherheits-Vorfall". Nach Medienberichten sahen am Freitag einige Mitarbeiter auf ihren Computern die für Erpressungstrojaner typische Lösegeldforderung. Die Währung der Wahl war - wie so oft in solchen Fällen - das anonyme Online-Geld Bitcoin. Auf angeblichen Screenshots aus Großbritannien hieß es, sollte der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werden, würden alle Daten gelöscht.
Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet.
IT-Forscher stoppte Ausbreitung von Erpressungssoftware
IT-Sicherheitsexperten haben nach eigenen Angaben einen "Notschalter" entdeckt, der die Verbreitung der erpresserischen Schadsoftware Wanna Decryptor zunächst stoppen kann. Wie ein Experte der Plattform MalwareTechBlog am Samstag der Nachrichtenagentur AFP über den Kurzbotschaftendienst Twitter mitteilte, führt die Registrierung eines von dem Trojaner genutzten Domain-Namens dazu, dass sich das Virus Wanna Decryptor, auch WCry oder WannaCry, nicht mehr weiterverbreitet.
Er sei zufällig auf den "Schalter" gestoßen, schrieb der IT-Fachmann. Die Schadsoftware "stützt sich hauptsächlich auf eine nicht registrierte Domain, und als wie sie registriert haben, haben wir die Verbreitung der Schadsoftware gestoppt", schrieb @MalwareTechBlog bei Twitter. Werde dieser Vorgang nicht wieder rückgängig gemacht, "wird dieser eine Stamm keinen Schaden mehr anrichten".
Es sei jedoch dringend erforderlich, Sicherheitslücken in Computersicherheitssystemen so schnell wie möglich mit Updates zu schließen, riet der Experte. "Die Krise ist nicht vorbei, sie können den Code jederzeit ändern und es wieder versuchen." Bei bereits von dem Virus infizierten Computer helfe der "Notschalter" allerdings nicht mehr.
Laut Europol "beispielloses Ausmaß"
Nach Einschätzung der europäischen Ermittlungsbehörde Europol hat die Cyber-Attacke ein bisher "beispielloses Ausmaß". Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.
