taz.de/1/!5409098 - Gopher HTTP proxy

# taz.de -- Nach Erpressungstrojaner „WannaCry“: Suche nach Schuldigen läuft

> Der Angriff betraf mindestens 150 Länder weltweit. Europol spricht von
> einer Attacke noch nie dagewesenen Ausmaßes. Die Untersuchung werde
> „komplex“.

IMG Bild: Probleme bei der Bahn: Neben den Fahrplan-Anzeigen seien auch einige Fahrkartenautomaten und vereinzelt Überwachungskameras ausgefallen

London ap/dpa/rtr/ap | [1][Nach dem Angriff des Erpressungstrojaners
„WannaCry“ auf Unternehmen und Institutionen in aller Welt] hat die
schwierige Suche nach den Tätern begonnen. IT-Experten warnten davor, dass
möglicherweise noch weit verheerendere Attacken bevor stehen könnten.
Experten in Konzernen und Behörden fürchten eine neue Welle des weltweiten
Cyberangriffs mit Beginn der Arbeitswoche. Wenn sich am Montag rund um den
Globus Millionen Menschen nach dem Wochenende wieder in ihrer Computer
einloggten, werde sich der Virus wieder weiterverbreiten, warnten
Sicherheitsexperten und Unternehmensberater besonders in Asien. Dort hatte
der Computerwurm bisher vergleichsweise wenig Schaden angerichtet.

Von der weltweiten Cyberattacke sind nach Angaben der europäischen
Polizeibehörde bislang mehr als 200.000 Ziele in „mindestens 150 Ländern“
betroffen. Es handele sich „insbesondere um Unternehmen“, sagte
Europol-Chef Rob Wainwright dem britischen Sender ITV am Sonntag. Viele
weitere entgingen der Attacke, weil es einem jungen IT-Wissenschaftler
gelang, eine eingebaute Notbremse in der Malware zu aktivieren.

Bei einer Ransomware-Attacke bemächtigt sich schädliche Software eines
Computers und hält die darauf gespeicherten Daten gewissermaßen in
Geiselhaft. Der Nutzer wird über eine Nachricht auf dem Bildschirm
aufgefordert, Lösegeld (ransom) zu zahlen, damit er wieder auf den Rechner
zugreifen kann. Wollen Einzelpersonen oder Unternehmen nicht zahlen, bleibt
ihnen nur die Möglichkeit, ihre Daten aus Backups wieder herzustellen oder
sie verloren zu geben.

Besonders betroffen von der Attacke durch die Ransomware „WannaCry“ war der
britische Gesundheitsdienst NHS. Von dessen 248 Einrichtungen seien 48
infiziert worden, sagte Innenministerin Amber Rudd am Samstag nach einer
Krisensitzung der Regierung in London. Bei allen bis auf sechs seien aber
die Computersysteme mittlerweile wieder hergestellt. IT-Experten arbeiteten
rund um die Uhr daran, auch diese zu retten.

In Brasilien musste das Computersystem der Sozialversicherung des Landes
vom Netz genommen und der öffentliche Zugang gesperrt werden. Auch das
brasilianische Außenministerium, der staatliche Öl-Konzern Petrobras und
Gerichte riegelten Computer vorsichtshalber ab.

## Bahn-Anzeigentafeln weiterhin gestört

Nach dem Angriff werden die betroffenen Anzeigetafeln der Deutschen Bahn
noch „einige Zeit gestört bleiben“. Das teilte ein Bahnsprecher am Sonntag
auf Anfrage der Deutschen Presse-Agentur mit. Die Techniker müssten die
Software an jedem einzelnen Rechner, der die Anzeigetafeln steuert,
reparieren. „Es gibt keinen zentralen Server, der die Tafeln steuert“,
sagte der Sprecher. Neben den Fahrplan-Anzeigen seien auch einige
Fahrkartenautomaten und vereinzelt Überwachungskameras ausgefallen.

Die Einheit für Cyberkriminalität bei Europol erklärte, es habe sich um
einen Angriff in einem bisher noch nie da gewesenen Ausmaß gehandelt. „Es
wird einer komplexen internationalen Untersuchung bedürfen, um die
Schuldigen zu identifizieren“, hieß es in einer Erklärung.

Möglicherweise sei die Attacke aber nur ein Vorgeschmack gewesen, warnte
der Cybersicherheits-Experte Ori Eisen. Immerhin seien die
Lösegeld-Forderungen auch sehr gering gewesen. „Das war noch nichts
Ernsthaftes. Was wenn das Gleiche bei zehn Atomkraftwerken passiert und sie
den ganzen Strom abstellen müssen? Was wenn das Gleiche bei einem Damm oder
einer Brücke passiert?“, sagte er der Nachrichtenagentur AP. „Heute ist es
bei 10.0000 Computern passiert. Es gibt keine Hürde, dass es morgen bei 100
Millionen Computern passiert.“

## Rasend schnelle Ausbreitung

Die Schadsoftware nutzte eine bereits bekannte Sicherheitslücke von
Microsoft Windows, für die es auch bereits ein Update gibt. Dieses wurde
aber bei den betroffenen Rechnern offenbar noch nicht installiert, weil
einige noch Windows XP benutzen und deshalb dafür zahlen müssten. Die
Malware gelangt über E-Mail-Anhänge in die Systeme und breitet sich rasend
schnell aus, wenn Nutzer drauf klicken. Microsoft kündigte an, in Zukunft
Sicherheitsupdates auch für ältere Windows-Versionen gratis anzubieten.

Hilfe bei der Eindämmung der Malware kam von einem 22-jährigen IT-Forscher,
der einen sogenannten Kill Switch in dem Programm aktivieren konnte. Das
tat er, indem er eine Internet-Domain registrierte, auf die das Programm
immer wieder zugriff. Offenbar hatten die Hintermänner diese Notbremse
eingebaut, um den Virus selbst stoppen zu können. Bereits infizierte
Rechner konnten dadurch aber nicht gerettet werden. Auch der 22-Jährige
warnte, dass nach einer simplen Änderung des Codes eine neue Cyberattacke
folgen könnte.

Das britische Zentrum für Internetsicherheit lobte den jungen IT-Forscher.
In einer Mitteilung auf seiner Internetseite erklärte das Zentrum, der
Mann, der auf [2][Twitter einen Account unter dem Namen MalwareTech] führt,
habe eine weitere Verbreitung der schadhaften Software verhindert. Der
22-Jährige teilte am Samstag über Twitter mit, dass er ursprünglich nicht
wusste, dass er mit seinem Handeln die Ransomware stoppen würde.

Die Virus-Experten von Kaspersky Lab and Avast erklärten, dass Russland am
schwersten betroffen war. Das russische Innenministerium bestätigte die
Ransomware-Attacken, eine Sprecherin sagte der Nachrichtenagentur Interfax
aber am Samstag, das Problem sei lokalisiert worden und keine Daten seien
nach außen gelangt. Russland wurde in der Vergangenheit selbst für eine
Reihe von Hackerattacken verantwortlich gemacht.

14 May 2017

## LINKS

DIR [1] /Cyberattacke-in-globalem-Massstab/!5409081
DIR [2] https://twitter.com/MalwareTechBlog

## TAGS

DIR Cyberattacke
DIR Cyberkriminalität
DIR Hacker
DIR Deutsche Bahn
DIR Microsoft
DIR Europol
DIR Cyberkriminalität
DIR Twitter / X
DIR Bremen
DIR WannaCry
DIR Petrobras
DIR WannaCry
DIR WannaCry
DIR Cyberattacke

## ARTIKEL ZUM THEMA

DIR Studie über Betrüger im Internet: Wer sind die Cyberkriminellen?

Das Europäische Forum Alpbach sucht Wege zu mehr Sicherheit im Internet.
Ein Studie über Cyberkrimelle zeigt nicht nur erwartbares.

DIR Aufräumaktion bei Facebook und Twitter: Propaganda-Accounts gelöscht

Erst Microsoft, jetzt Facebook und Twitter. Es wirkt fast wie eine
konzertierte Aktion. Der Vorwurf der Manipulation richtet sich gegen Moskau
und Teheran.

DIR Bremer Bunker wird umfunktioniert: Westend wird Silicon Walle

In einem ehemaligen Atomschutzbunker in Bremen-Walle ist ein gigantisches
Rechenzentrum entstanden – mit vierfacher Datensicherung.

DIR Angriffe auf Firmen: Neue Cyber-Attacke trifft Ukraine

Über einen Monat nach der „WannaCry“-Attacke hat ein Erpressungstrojaner
erneut in großem Stil zugeschlagen. Diesmal traf es viele Firmen in der
Ukraine.

DIR Korruptionsskandal um Petrobras: Brasiliens Präsident Temer belastet

Wo Schmiergeld gezahlt wird, wird auch irgendwann Schweigegeld bezahlt. In
den Skandal um den Ölkonzern Petrobras ist wohl auch Brasiliens Präsident
verstrickt.

DIR Der Erpressungstrojaner „WannaCry“: Ein Netz von Unsicherheiten

Warum Geheimdienste Sicherheitslücken kaufen – und was die Lösegeld-Attacke
vom Wochenende mit Bananen zu tun hat.

DIR Nach Erpressungstrojaner „WannaCry“: Microsoft gibt Regierungen Mitschuld

In Krankenhäusern, Schulen und Büros stiftet der Angriff mit der Ransomware
Unruhe. Der Softwarekonzern Microsoft kritisiert den US-Geheimdienst NSA.

DIR Cyberattacke in globalem Maßstab: Schwarze Bildschirme in 99 Ländern

Die bisher größte Welle von Cyberattacken hat am Freitag weltweit Systeme
lahmgelegt. Auch die Deutsche Bahn wurde Ziel. Besonders hart traf es
britische Kliniken.