Cyberattacke: Österreichische Unternehmen betroffen

Von der neuen Cyberattacke durch eine bisher nicht bekannte Erpresser-Software sind auch Firmen in Österreich betroffen. Bisher wurden zwei Unternehmen dem Bundeskriminalamt (BK) gemeldet, hieß es Mittwochmittag. Es handelt sich um internationale Unternehmen mit Standort in Wien. Diese Erpresser-Software sei "noch übler", sagte Bundeskriminalamtssprecher Vincenz Kriegs-Au.

Bei den bisher bekannten Fällen von Ransomware konnten die infizierten Computer normal hochgefahren und sogar Programme gestartet werden. Bei der neuen Schadsoftware liegt das Übel bereits im Vorfeld, denn das Hochfahren ist nicht mehr möglich. Auf dem Bildschirm erscheint nur noch die Information, dass der Computer infiziert ist und wie das Lösegeld überwiesen werden solle. Es wurden mehrere Computer der beiden Unternehmen in Wien infiziert, für jeden einzelnen fordern die Erpresser 300 Dollar.

Kriegs-Au wies auf die Wichtigkeit hin, dass etwaige weitere Betroffene Anzeige erstatten: Nur so erhalten die Ermittler wichtige Informationen, um den digitalen Spuren im Netz folgen zu können. Alle österreichischen Ransomware-Fälle werden zentral von einer Sonderkommission übernommen. Die Soko CLAVIS bearbeitet diese und steht diesbezüglich auch im laufenden internationalen Kontakt mit den ermittelnden Behörden anderer Staaten und mit Europol, berichtete das BK.

Globale Ausmaße

Nach einem zweiten massiven Angriff mit Erpressungssoftware innerhalb von zwei Monaten kämpfen Firmen rund um den Globus mit den Folgen der Cyber-Attacke. Zu den betroffenen Unternehmen zählen die dänische Reederei Maersk, der größte russische Ölproduzent Rosneft, der US-Pharmakonzern Merck, die französische Bahn SNCF, der Lebensmittel-Riese Mondelez ("Milka", "Oreo") und der Hamburger Kosmetikhersteller Beiersdorf .

Besonders hart traf es Unternehmen und Behörden in der Ukraine. An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Wichtige technische Systeme der Station funktionierten dort aber normal. Die Schadsoftware verbreitete sich am Dienstag nicht nur über die Windows-Sicherheitslücke, die im Mai der Trojaner "WannaCry", sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken.

Ziel: Chaos

Bei dem Angriff geht es um eine Erpresser-Software. Sie setzt Computer außer Gefecht, indem sie deren Festplatten verschlüsselt. Zugang erhalten Geschädigte erst wieder nach Zahlung von 300 Dollar in der Cyberwährung Bitcoin. Fachleute zogen Parallelen zu dem Angriff mit dem Schadprogramm "WannaCry", das Mitte Mai rund um den Globus Computer lahmgelegt hatte. Unterdessen sehen Experten aber Hinweise darauf, dass die Angreifer eher auf Chaos und nicht Profit aus waren.

"Ransomware" ist ein lukratives Geschäft, das Internet-Kriminellen hunderte Millionen Dollar einbringen kann. Doch der Angriff von Dienstag war schon ungewöhnlich, weil die enorme Durchschlagskraft der Schadsoftware mit einer seltsamen Nachlässigkeit beim Geldeintreiben gepaart war. Opfer sollten sich nach dem Bezahlen per E-Mail bei den Angreifern melden. Die Adresse beim deutschen Mail-Dienst Posteo wurde - wie auch nicht anders zu erwarten - schnell blockiert. Bis Mittwochmittag zeigte die Bitcoin-Börse der Angreifer gerade einmal 42 Geldeingänge ein. So gehe man nicht vor, wenn man Geld verdienen wolle, ist Helge Husemann von der IT-Sicherheitsfirma Malwarebytes überzeugt. "Die wollten Sachen absichtlich stören."

Der IT-Sicherheitsfirma Kaspersky zufolge handelt es sich nicht um eine Variante der "Petya"-Schadware, sondern um eine neue, bisher nicht bekannte Erpresser-Software. Die Experten rieten Unternehmen, ein Update ihrer Windows-Software durchzuführen und Back-ups anzulegen. Nutzer von Windows XP und Windows 7 können sich durch Installation des Sicherheits-Patches MS17-010 schützen, hieß es in einer Aussendung von Kaspersky am Mittwoch.