Zum Heulen
ATTACKE Ein Trojaner hat Hunderttausende Rechner befallen – und erpresst deren Besitzer
Die Deutsche Bahn. Gehackt Foto: dpa
„Bitte Aushangfahrplan beachten“ steht am Samstag auf allen elektronischen Anzeigetafeln im Leipziger Hauptbahnhof. Immerhin, die Erpressungsmeldung mit der Überschrift „Ooops, your files have been encrypted“, die sich am Freitagabend über die Anzeigen gelegt hatte, ist nicht mehr zu sehen.
Die Deutsche Bahn ist nur eines der Opfer eines weltweiten Cyberangriffs – und im Gegensatz zu Krankenhäusern in Großbritannien, wo Patienten nicht versorgt werden konnten, wohl eines der Ziele, wo sich der Angriff weniger dramatisch auswirkte.
Was war passiert? Am Freitag entfaltete sich „WannaCry“, ein sogenannter Kryptotrojaner: Das besagte Fenster legte sich über viele Bildschirme und erpresste die NutzerInnen: Entweder sollten sie rund 300 Dollar in der digitalen Währung Bitcoin zahlen, oder die Daten würden verloren gehen. Ein Countdown lief mit. Bis Sonntag sollen laut Europol 200.000 Ziele in 150 Ländern betroffen gewesen sein.
Die Angreifer nutzten für ihre Attacke zunächst wohl die klassische Verbreitung via Mailanhang. War der Trojaner allerdings in einem Netzwerk, nutzte er dort eine bekannte Lücke in der Windows-Dateifreigabe, um einen Rechner nach dem anderem zu kapern, ganz ohne dass dafür irgendeine Datei geöffnet werden musste. Diese Sicherheitslücke, die vor allem im alten Betriebssystem Windows XP klafft beziehungsweise klaffte, ist spätestens seit 11. April jedem, der es wissen wollte, bekannt. Damals veröffentlichten Hacker ein Paket von Daten und Programmen, die wohl vom US-amerikanischen Geheimdienst NSA stammen. Die Hacker hatten 2016 versucht, das Paket zu verkaufen, anscheinend wollte niemand zahlen, also stellten sie es zur freien Verfügung.
Die Daten müssen der NSA also schon vor langer Zeit entglitten sein. Im März veröffentlichte Microsoft ein Sicherheitsupdate für alle Systeme außer Windows XP, das schon lange nicht mehr unterstützt wird.
Warum so spät? Vielleicht gab die NSA ihr Wissen um die Lücke schlicht nicht weiter, vielleicht nutzte sie das Leck weiterhin.
Allerdings liegt auch ein gehöriges Maß an Mitverantwortung bei den nun betroffenen Unternehmen (neben Bahn und englischem Gesundheitsdienst NHS auch Telefónica, FedEx oder Renault). Viele nutzten wohl das 16 Jahre alte und seit 2014 nicht mehr mit Updates versorgte Windows XP. Oder sie nutzten neuere Versionen, hatten aber nicht die entsprechenden Updates geladen.
Wer hinter dem Angriff steckt, ist völlig unklar. Sind es tatsächlich Erpresser? Wer auch immer es war, er oder sie hat auch eine Art Ausschalter eingebaut. Den hat nämlich ein unter dem Namen MalwareTech twitternder und bloggender Brite gefunden – und WannaCrys weitere Verbreitung damit gestoppt.
Entwarnung? Nö. Erstens könnte eine neue Version von WannaCry auf einen solchen Schalter verzichten. Zweitens sind die von WannaCry befallenen Rechner wohl schon seit Längerem infiziert. Lediglich die Erpressungsattacke startete erst am Freitag. Wenn am Montag zu Arbeitsbeginn die Rechner hochgefahren werden, erwarten die Ermittler von Europol deshalb viele weitere Betroffene. Jürn Kruse
