Chronik | Welt
15.05.2017

Cyber-Attacke: Europol gibt vorsichtige Entwarnung

Die erpresserische Schadsoftware hatte sich am Wochenende im Netz verbreitet. Einige Betroffene zahlten offenbar Lösegeld.

Die europäische Polizeibehörde Europol hat nach der weltweiten Cyberattacke vorsichtige Entwarnung gegeben. Eine weitere massenhafte Ausbreitung der Schadsoftware sei offenbar vermieden worden, sagte ein Europol-Sprecher am Montag in Den Haag. Offenbar hätten eine Menge Experten am Wochenende "ihre Hausaufgaben gemacht" und die Sicherheitssysteme aktualisiert.

Der Software-Konzern Microsoft bezeichnete die Attacke als "Weckruf" für Regierungen weltweit. Hunderttausende Computer in 150 Ländern wurden von einer Schadsoftware mit dem Namen "WannaCry" blockiert. Die weltweite Cyberattacke hatte am Wochenende in zahllosen Behörden, Unternehmen und bei Einzelpersonen erhebliche Schäden angerichtet. Die erpresserische Schadsoftware legte seit Freitagabend in Großbritannien zahlreiche Kliniken lahm. Betroffen waren auch die Deutsche Bahn, der Automobilkonzern Renault, der Telefon-Riese Telefonica und das russische Innenministerium sowie weitere Großunternehmen. Europol sprach von einer "beispiellosen" Cyberattacke.

Angriffe in Asien

Betroffen war auch Asien - insbesondere China, wo nach Angaben von staatlichen Medien etwa 30.000 Organisationen und Unternehmen über das Wochenende betroffen gewesen. Mehr als 20.000 Tankstellen des chinesischen Öl-Giganten CNPC gingen demnach offline. Kunden konnten nur noch mit Bargeld zahlen. Die chinesischen Behörden forderten Internetnutzer am Montag dazu auf, ihre Computer besser zu schützen. Nutzer sollten dringend eine Sicherheits-Software installieren oder bestehende Schutzprogramme aktualisieren, hieß es am Montag in einer Mitteilung des Pekinger Büros für Cyber-Sicherheit.

In Japan meldete der Technologiekonzern Hitachi am Montag, dass es in Folge der Cyber-Attacke Probleme mit dem Senden und Empfangen von E-Mails und dem Öffnen von Anhängen gab. Welche Computer in Japan und im Ausland genau betroffen seien, werde noch untersucht. Teile der angegriffenen Systeme seien inzwischen wiederhergestellt.

Indonesien hat seine Behörden und Unternehmen am Montag zu verstärkten Anstrengungen beim Schutz von Computern aufgerufen. "Angesichts dieses weltweiten Angriffs muss jetzt schnell gehandelt werden", sagte der Minister für Kommunikation und Informationstechnologie, am Montag in Jakarta. In der Hauptstadt waren von dem Angriff zwei Krankenhäuser betroffen. Das südostasiatische Land mit seinen mehr als 250 Millionen Einwohnern gehört zur Gruppe der 20 wichtigsten Industrie- und Schwellenländer (G20).

In Thailand hatte der Angriff nach offiziellen Angaben keine größeren Auswirkungen. Allerdings waren in der Hauptstadt Bangkok mehrere großformatige digitale Anzeigetafeln gestört. Statt der Werbung, die dort eigentlich zu sehen sein sollte, flimmerten andere Mitteilungen über die Tafeln.

Lage in Europa stabil

Experten und Behörden waren davon ausgegangen, dass die Zahl der infizierten Computer am Montag weiter steigen würde, weil zahlreiche Rechner erst nach dem Wochenende wieder hochgefahren wurden. Am Montagvormittag gab der Europol-Sprecher Jan Op Gen Oorth aber vorerst Entwarnung: Die die Zahl der Opfer sei "nicht weiter nach oben gegangen, bisher scheint die Lage in Europa stabil". Das sei "ein Erfolg."

Die Angreifer hatten Computerdaten verschlüsselt und ein Lösegeld verlangt, um die Daten wieder freizugeben. Auf dem Bildschirm infizierter Rechner erschien lediglich die Aufforderung, innerhalb von drei Tagen 300 Dollar (275 Euro) in der Internet-Währung Bitcoin zu überweisen. Sollte binnen sieben Tagen keine Zahlung eingehen, würden die verschlüsselten Daten gelöscht.

Lösegeldzahlungen

In mehreren Ländern warnten Behörden davor, den Geldforderungen nachzukommen, da es keine Garantie gebe, dass die Daten auf den betroffenen Computern tatsächlich wieder freigegeben würden. Ungeachtet der Warnungen gingen einige Opfer aber offenbar auf die Lösegeldforderungen ein. Die IT-Sicherheitsfirma Digital Shadows teilte am Sonntag mit, sie habe bereits entsprechende Transaktionen in Bitcoin im Wert von 32.000 Dollar (29.300 Euro) registriert. Der Anti-Virenprogramm-Hersteller Symantec sprach von 81 Transaktionen im Umfang von 28.600 Dollar bis Samstagmittag.

Microsoft kritisierte nach der Cyberattacke den Einsatz von Schadprogrammen durch Regierungen. Der Angriff sei ein "Weckruf", schrieb Microsoft-Manager Brad Smith in einem Blog-Eintrag. Er warf dem US-Geheimdienst NSA vor, eine Sicherheitslücke im Betriebssystem Windows für seine eigenen Zwecke genutzt zu haben. Nachdem die NSA selbst Opfer eines Hackerangriffs geworden war, gelangten die Informationen in die Hände Krimineller, die dann den groß angelegten Cyberangriff starteten.

Auf konventionelle Waffen übertragen sei der Schaden mit dem Diebstahl einiger Tomahawk-Raketen aus dem Arsenal der US-Armee vergleichbar, schrieb Smith. Er forderte die Regierungen auf, ihre Erkenntnisse über Sicherheitslücken künftig mit den Softwareunternehmen zu teilen.Nach Angaben von Europol ist es noch zu früh um zu sagen, wer hinter der Attacke steckt. "Aber wir arbeiten daran, ein Werkzeug zu entwickeln, um die Schadsoftware zu entschlüsseln", sagte Op Gen Oorth.

Renault schließt Werk

Der französische Autohersteller Renault hat weiter mit den Folgen der weltweiten Cyber-Attacke vom vergangenen Freitag zu kämpfen. In einem seiner größten Werke, der Fabrik in der nordfranzösischen Stadt Douai, stand die Produktion deswegen am Montag still. Informatiker seien mit "vorbeugenden Arbeiten" beschäftigt, sagte ein Sprecher.

Sie sollten verhindern, dass sich das Virus von möglicherweise infizierten Rechnern aus weiter verbreite, sagte eine Sprecherin. 3.500 Mitarbeiter blieben am Montag zu Hause. Dienstag früh sollte das Werk wieder öffnen. Andere Werke, in denen Renault am Samstag die Produktion gestoppt hatte, sind bereits wieder angelaufen.

Neben Renault sind in Frankreich nach Angaben der Nationalen Agentur für die Sicherheit von Informationssystemen noch andere Firmen betroffen. Ein "Cyberchaos" erwarte er am ersten Werktag nach der Attacke aber nicht, sagte Behördenchef Guillaume Poupard am Montag im Sender "France Inter". Namen betroffener Firmen nannte er nicht. Die Pariser Staatsanwaltschaft hatte bereits am Freitagabend Vorermittlungen zu den Cyber-Attacken aufgenommen.

Die Schadsoftware "WannaCry" ist die erste Kombination von Ransomware mit den Fortpflanzungsmöglichkeiten eines Wurmes. Darauf machte das Computer Emergency Response Team (CERT.at) aufmerksam, das jedes Jahr den Internet-Sicherheitsbericht verfasst. Durch das Ausnutzen einer Schwachstelle in Windows-Fileservern konnte die Malware direkt auf diesen aktiv werden und sich so schnell weiterverbreiten.

Sowohl die Ransomware als auch Computer-Würmer sind kein neues Phänomen, betonte CERT.at. Die Erpressersoftware wird schon seit Jahren von Verbrechern als "Geschäftsmodell" genutzt, um Geld zu erpressen. Die zusätzliche Wurm-Funktionalität hat zu deutlich schwereren Schadensfällen im Vergleich zu klassischer Ransomware geführt, warnten die Experten. Waren bisher primär Windows-Clients und die von den Usern schreibbaren Fileshares betroffen, so erreichte "WannaCry" (auch WanaCrypt0r oder WannaCrypt genannt) auch Systeme, die bisher verschont blieben.

Diese Kombination hat dazu geführt, dass es global zu einigen signifikanten IT-Ausfällen gekommen ist. Durch die Wurm-Funktionalität sind laut CERT.at alle Windows-Fileserver gefährdet, die nicht das Windows-Update MS17-010 Patch eingespielt haben (und auch neu gestartet wurden). Im März wurde dieser Patch nur für die noch gewarteten Windows-Versionen veröffentlicht, damit bekamen etwa Windows XP oder Windows Server 2003 diesen Fix nicht und sind daher akut gefährdet.