Panorama

Attacke mit Erpressersoftware Cyberangriff trifft fast 100 Länder

imago69614343h.jpg

Die Deutsche Bahn berichtet von Systemausfällen. Zugverkehr sei aber weiterhin möglich, hieß es.

(Foto: imago/Schöning)

Ein Computervirus attackiert weltweit Unternehmen, Behörden und Krankenhäuser. Wer den Angriff gestartet hat, ist unklar. Die Sicherheitslücke liegt anscheinend bei Microsoft.

Ein massiver Cyberangriff hat am Freitag Computer weltweit lahmgelegt. Betroffen waren unter anderem das britische Gesundheitssystem, der spanische Telekomriese Telefónica sowie die Deutsche Bahn. Das Unternehmen erklärte auf seiner Website, es gebe wegen "eines Trojanerangriffs im Bereich der DB Netz AG" Systemausfälle in verschiedenen Bereichen. "Zugverkehr ist weiterhin möglich." Zuvor waren auf Twitter Fotos aus Bahnhöfen aufgetaucht, auf denen Anzeigentafeln der Bahn mit Fehlermeldungen zu sehen waren.

Am Morgen wurde der Angriff zunächst von IT-Sicherheitsexperten gestoppt. Die Gefahr sei jedoch keineswegs dauerhaft gebannt, hieß es. Jakub Kroustek von der Sicherheitsfirma Avast erklärte am Freitagabend, es habe 75.000 Attacken in 99 Ländern gegeben. Die IT-Sicherheitsfirma Kaspersky sprach von mindestens 45.000 Attacken in 74 Ländern.

Die ersten Berichte über den Cyberangriff kamen aus Großbritannien. Hier führte der großangelegte Angriff zu massiven Behinderungen in Krankenhäusern und Arztpraxen. Mindestens 21 Krankenhäuser berichteten von größeren Störungen, unter anderem in London, Blackpool, Hertfordshire und Derbyshire. Computer wurden zum Teil vorsorglich heruntergefahren, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen. Rettungswagen mussten in andere Kliniken umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt.

Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den staatlichen Gesundheitsdienst NHS gerichtet gewesen, es handele sich um eine "internationale Attacke". Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt. Verantwortlich für den Angriff seien Kriminelle, aber der NHS habe nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem zwei Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.

Gemeinde in Schweden betroffen

*Datenschutz

In Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15 Uhr seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, hätten sie die Meldung bekommen, dass die Daten verschlüsselt seien und sie für die Freigabe bezahlen müssten.

Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Die PT-Homepage war am Abend nicht abrufbar. Man sei von Hackern attackiert worden, die Lösegeld gefordert hätten, bestätigte ein Firmensprecher. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen.

FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff. Die spanische Telefónica bestätigte einen "Cybersicherheits-Vorfall". Nach Medienberichten sahen am Freitag einige Mitarbeiter auf ihren Computern die für Erpressungstrojaner typische Lösegeldforderung. Die Währung der Wahl war - wie so oft in solchen Fällen - das anonyme Online-Geld Bitcoin. Auf Screenshots hieß es, sollte der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werden, würden alle Daten gelöscht. Beim russischen Innenministerium fielen rund 1000 Computer aus.

Lösegeld verlangt

*Datenschutz

Die Computer wurden von einer sogenannten Erpressungssoftware ("Ransomware") befallen, die gespeicherte Daten verschlüsselt und Lösegeld verlangt. Die Waffe der Angreifer war die Schadsoftware "Wanna Decryptor". Sie missbraucht eine einst vom US-Geheimdienst NSA ausgenutzte Sicherheitslücke. Geheimdienste suchen gezielt nach solchen Schwachstellen, um sie heimlich auszunutzen.

Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Lücke eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht - und das rächte sich jetzt. "Alle, die mit kritischen Infrastrukturen zu tun haben, sollten dringend prüfen, ob ihre Systeme auf dem aktuellen Stand sind", betonte Husemann von Malwarebytes. Microsoft reagierte auf die weltweite Cyber-Attacke und fügte den eigenen Programmen Updates zur sicheren Identifizierung der verwendeteen Schadsoftware hinzu.

Erpressungsprogramme werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. In der aktuellen Version konnten infizierte Computer allerdings auch ohne weitere Nutzer-Interaktionen andere Rechner in lokalen Netzwerken anstecken.

Eine derart verheerende Attacke wie am Freitag gab es bislang noch nicht. Um Spionage gehe es bei den jüngsten Cyberangriffen nicht, betonte der Experte José Rosell. Hinter den Attacken stünden vielmehr mafiaartige Strukturen. Diese schickten "das Virus los - und haben dann selbst keine Kontrolle mehr darüber, welche Menschen und Unternehmen attackiert werden".

Quelle: n-tv.de, chr/AFP/rts/dpa

Mehr zum Thema