Wirtschaft
Unerfreuliche Botschaft: In einem Büro in Kiew lässt sich ein Rechner nicht mehr benutzen.
Unerfreuliche Botschaft: In einem Büro in Kiew lässt sich ein Rechner nicht mehr benutzen.(Foto: AP)
Mittwoch, 28. Juni 2017

Hackerangriff auf Unternehmen: Das müssen Sie zur Petya-Attacke wissen

Von Kaus Wedekind und Jan Gänger

Ein Angriff mit Erpressungssoftware bereitet Unternehmen weltweit Probleme. Es ist die zweite Attacke innerhalb von zwei Monaten. Sie zeigt eindrucksvoll, wie einfach es für die Angreifer ist, Firmen zu schädigen, indem Sicherheitslücken veralteter Technologie ausgenutzt werden.

Es ist unklar, wer hinter dem Angriff steckt. Und nicht sicher ist auch, was die Angreifer eigentlich bezwecken. Hier die Antworten auf die wichtigsten Fragen:

Was passiert bei dem Angriff? Die Hacker infizieren die Computer ihrer Opfer mit sogenannter Ransomware beziehungsweise Krypto-Trojanern. Dabei werden einzelne Dateien oder ganze Dateisysteme verschlüsselt. Im aktuellen Fall wird der Bereich angegriffen, der für das Laden des Betriebssystems nach dem Computerstart zuständig ist. Opfer sind also komplett von ihrem Rechner ausgesperrt. Um wieder Zugriff zu erlangen, wird eine weitere Software zum Entschlüsseln benötigt, für die die Betroffenen Lösegeld zahlen sollen.

Wie verbreiten die Hacker die Ransomware? Vermutlich handelt es sich bei der eingesetzten Ransomware um eine Variante des schon länger bekannten Krypto-Trojaners "Petya" alias "PetrWrap", Sicherheitsforscher haben große Ähnlichkeiten zu "GoldenEye" festgestellt. Jüngsten Erkenntnissen zufolge haben die Hacker die ukrainische Buchhaltungs-Software "M.E.Doc" eingesetzt. Der Schädling wurde offenbar durch ein kompromittiertes Update des Programms freigesetzt. Der Hersteller warnt auf seiner Homepage vor einem Virenbefall und entschuldigt sich für Unannehmlichkeiten. Ein infizierter Computer reicht aus, um ein gesamtes Netzwerk zu befallen. Und weil die neue Petya-Variante wie ein Wurm agiert, konnte sie sich von der Ukraine ausgehend weiter ausbreiten.

Video

Was wollen die Angreifer? Der oder die Erpresser fordern zur Wiederherstellung infizierter Computersysteme 300 Dollar Lösegeld, zu zahlen in der Digitalwährung Bitcoins. Es ist allerdings nicht sicher, ob die Angreifer auf Profit aus sind oder doch eher Chaos verbreiten wollen. Denn während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, ist die Bezahlfunktion bei der neuen Attacke äußerst krude gestaltet: Alles Lösegeld soll auf ein einziges Konto gehen, die zahlenden Opfer müssen sich außerdem per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, war es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bisher gingen nur 35 Zahlungen auf dem Bitcoin-Konto ein.

Welches Ausmaß hat der Angriff? Die russische IT-Sicherheitsfirma Kaspersky verzeichnete bislang 2000 Attacken, die meisten davon in Russland und der Ukraine. Dort scheint die Verbreitung ihren Ursprung zu haben. Dann wurden Computer etwa in Deutschland, Polen, Italien, Großbritannien und Frankreich infiziert. Später erreichte die Erpresser-Software die USA, mittlerweile breitet sie sich auch in Asien aus.

Welche Unternehmen sind betroffen? Zu den bekanntesten Unternehmen gehören der Reederei-Riese Maersk oder der russische Öl-Gigant Rosneft. Auch der Lebensmittel-Riese Mondelez - zu ihm gehört etwa die Marke "Milka" - ist von der Attacke betroffen, ebenso wie der US-Pharmakonzern Merck. Zu den Opfern gehören auch die französische Saint Gobain, der russische Stahlproduzent Evraz oder die weltweit tätige Rechtsanwaltskanzlei DLA Piper. Auch in Deutschland sind Unternehmen betroffen, wie das Bundesamt für die Sicherheit in der Informationstechnik (BSI) mitteilte. Um welche Firmen es sich handelte, teilte die Behörde allerdings nicht mit. Der Konsumgüterkonzern Beiersdorf bestätigte, er sei Ziel des Angriffs geworden, IT- und Telefon-Systeme seien ausgefallen. Doch nicht nur Unternehmen werden angegriffen: Die ukrainische Zentralbank sprach von einer Attacke, an der Ruine des ukrainischen Atomkraftwerks Tschernobyl fielen Windows-Computer aus.

Welche Auswirkungen hat die Attacke? Wie schwer die Attacke das Geschäft einiger betroffener Unternehmen beeinträchtigt, ist unklar. Der Schaden lässt sich nicht beziffern. Von dem Angriff sind Computer, Geldautomaten und etwa Supermarktkassen betroffen - und die Auswirkungen auf die zahlreichen angegriffenen Unternehmen sind unterschiedlich. Rosneft sprach beispielsweise von einer "gewaltigen Attacke" auf seine Server. Zu Produktionsausfällen sei es aber nicht gekommen. Allerdings seien in der Zentrale in Moskau Computer, das Intranet und das Wifi betroffen. Ein Fracht-Terminal der Reederei Maersk in der Nähe von Mumbai wurde dagegen lahmgelegt. Und in einer Schokoladenfabrik von Cadbury in Australien wurde die Produktion gestoppt.

Wie können Unternehmen sich schützen? Offenbar nutzten die Hacker Sicherheitslücken im Betriebssystem Windows aus, die bereits im Mai bei der WannaCry-Kampagne Einfallstor für die Schad-Software waren. Microsoft stellt für diese Schwachstellen schon seit März ein Update bereit und hat im Juni sogar noch einen Patch für Windows XP veröffentlicht. Zusätzlich greift die neue Petya-Variante eine weitere Lücke an, die Microsoft aber ebenfalls bereits beseitigt hat. Computer, die aktuell gehalten werden, sollten also sicher sein. Aber auch gepatchte Systeme sind offenbar angreifbar, wenn in einem Netzwerk bereits ein Rechner infiziert ist.

Warum schließen Unternehmen bekannte Sicherheitslücken nicht? Dafür gibt es mehrere Gründe. Manche Systeme unterstützen die Sicherheitsupdates nicht, wenn Computer in Maschinen arbeiten, können sie auch nicht ohne weiteres ausgetauscht oder aufgerüstet werden. Einigen Unternehmen mag es auch zu teuer erscheinen, Updates durchzuführen. Andere fürchten, dass durch Aktualisierungen oder neue Software-Versionen ihre Systeme beeinträchtigt werden. Und wieder andere denken einfach nicht daran, dass sie veraltete Software in ihrem Unternehmen verwenden.

Quelle: n-tv.de