Nach Erpressungstrojaner „WannaCry“: Suche nach Schuldigen läuft

London ap/dpa/rtr/ap | Nach dem Angriff des Erpressungstrojaners „WannaCry“ auf Unternehmen und Institutionen in aller Welt hat die schwierige Suche nach den Tätern begonnen. IT-Experten warnten davor, dass möglicherweise noch weit verheerendere Attacken bevor stehen könnten. Experten in Konzernen und Behörden fürchten eine neue Welle des weltweiten Cyberangriffs mit Beginn der Arbeitswoche. Wenn sich am Montag rund um den Globus Millionen Menschen nach dem Wochenende wieder in ihrer Computer einloggten, werde sich der Virus wieder weiterverbreiten, warnten Sicherheitsexperten und Unternehmensberater besonders in Asien. Dort hatte der Computerwurm bisher vergleichsweise wenig Schaden angerichtet.

Von der weltweiten Cyberattacke sind nach Angaben der europäischen Polizeibehörde bislang mehr als 200.000 Ziele in „mindestens 150 Ländern“ betroffen. Es handele sich „insbesondere um Unternehmen“, sagte Europol-Chef Rob Wainwright dem britischen Sender ITV am Sonntag. Viele weitere entgingen der Attacke, weil es einem jungen IT-Wissenschaftler gelang, eine eingebaute Notbremse in der Malware zu aktivieren.

Bei einer Ransomware-Attacke bemächtigt sich schädliche Software eines Computers und hält die darauf gespeicherten Daten gewissermaßen in Geiselhaft. Der Nutzer wird über eine Nachricht auf dem Bildschirm aufgefordert, Lösegeld (ransom) zu zahlen, damit er wieder auf den Rechner zugreifen kann. Wollen Einzelpersonen oder Unternehmen nicht zahlen, bleibt ihnen nur die Möglichkeit, ihre Daten aus Backups wieder herzustellen oder sie verloren zu geben.

Besonders betroffen von der Attacke durch die Ransomware „WannaCry“ war der britische Gesundheitsdienst NHS. Von dessen 248 Einrichtungen seien 48 infiziert worden, sagte Innenministerin Amber Rudd am Samstag nach einer Krisensitzung der Regierung in London. Bei allen bis auf sechs seien aber die Computersysteme mittlerweile wieder hergestellt. IT-Experten arbeiteten rund um die Uhr daran, auch diese zu retten.

In Brasilien musste das Computersystem der Sozialversicherung des Landes vom Netz genommen und der öffentliche Zugang gesperrt werden. Auch das brasilianische Außenministerium, der staatliche Öl-Konzern Petrobras und Gerichte riegelten Computer vorsichtshalber ab.

Bahn-Anzeigentafeln weiterhin gestört

Nach dem Angriff werden die betroffenen Anzeigetafeln der Deutschen Bahn noch „einige Zeit gestört bleiben“. Das teilte ein Bahnsprecher am Sonntag auf Anfrage der Deutschen Presse-Agentur mit. Die Techniker müssten die Software an jedem einzelnen Rechner, der die Anzeigetafeln steuert, reparieren. „Es gibt keinen zentralen Server, der die Tafeln steuert“, sagte der Sprecher. Neben den Fahrplan-Anzeigen seien auch einige Fahrkartenautomaten und vereinzelt Überwachungskameras ausgefallen.

Die Einheit für Cyberkriminalität bei Europol erklärte, es habe sich um einen Angriff in einem bisher noch nie da gewesenen Ausmaß gehandelt. „Es wird einer komplexen internationalen Untersuchung bedürfen, um die Schuldigen zu identifizieren“, hieß es in einer Erklärung.

Möglicherweise sei die Attacke aber nur ein Vorgeschmack gewesen, warnte der Cybersicherheits-Experte Ori Eisen. Immerhin seien die Lösegeld-Forderungen auch sehr gering gewesen. „Das war noch nichts Ernsthaftes. Was wenn das Gleiche bei zehn Atomkraftwerken passiert und sie den ganzen Strom abstellen müssen? Was wenn das Gleiche bei einem Damm oder einer Brücke passiert?“, sagte er der Nachrichtenagentur AP. „Heute ist es bei 10.0000 Computern passiert. Es gibt keine Hürde, dass es morgen bei 100 Millionen Computern passiert.“

Rasend schnelle Ausbreitung

Die Schadsoftware nutzte eine bereits bekannte Sicherheitslücke von Microsoft Windows, für die es auch bereits ein Update gibt. Dieses wurde aber bei den betroffenen Rechnern offenbar noch nicht installiert, weil einige noch Windows XP benutzen und deshalb dafür zahlen müssten. Die Malware gelangt über E-Mail-Anhänge in die Systeme und breitet sich rasend schnell aus, wenn Nutzer drauf klicken. Microsoft kündigte an, in Zukunft Sicherheitsupdates auch für ältere Windows-Versionen gratis anzubieten.

Hilfe bei der Eindämmung der Malware kam von einem 22-jährigen IT-Forscher, der einen sogenannten Kill Switch in dem Programm aktivieren konnte. Das tat er, indem er eine Internet-Domain registrierte, auf die das Programm immer wieder zugriff. Offenbar hatten die Hintermänner diese Notbremse eingebaut, um den Virus selbst stoppen zu können. Bereits infizierte Rechner konnten dadurch aber nicht gerettet werden. Auch der 22-Jährige warnte, dass nach einer simplen Änderung des Codes eine neue Cyberattacke folgen könnte.

Das britische Zentrum für Internetsicherheit lobte den jungen IT-Forscher. In einer Mitteilung auf seiner Internetseite erklärte das Zentrum, der Mann, der auf Twitter einen Account unter dem Namen MalwareTech führt, habe eine weitere Verbreitung der schadhaften Software verhindert. Der 22-Jährige teilte am Samstag über Twitter mit, dass er ursprünglich nicht wusste, dass er mit seinem Handeln die Ransomware stoppen würde.

Die Virus-Experten von Kaspersky Lab and Avast erklärten, dass Russland am schwersten betroffen war. Das russische Innenministerium bestätigte die Ransomware-Attacken, eine Sprecherin sagte der Nachrichtenagentur Interfax aber am Samstag, das Problem sei lokalisiert worden und keine Daten seien nach außen gelangt. Russland wurde in der Vergangenheit selbst für eine Reihe von Hackerattacken verantwortlich gemacht.