200 000 Opfer in 150 Ländern

Experten befürchten neue Cyber-Attacken

+
Auf dem Bildschirm eines Computers ist die Website des staatlichen, britischen Gesundheitsdienstes NHS zu sehen. Der NHS informiert am 12. Mai auf seiner Internetseite über Probleme mit der IT. Foto: Mike Egerton

Die rasante Ausbreitung eines Trojaners, der britische Krankenhäuser und Rechner bei der Deutschen Bahn lahmlegte, wurde zwar schnell gestoppt. Doch solange es Computer mit der ausgenutzten Sicherheitslücke gibt, sind immer neue Angriffswellen zu erwarten.

Berlin (dpa) - Nach der massiven Cyber-Attacke mit Zehntausenden blockierten Computern warnen Experten vor neuen Angriffen. "Ich gehe davon aus, dass es von dieser Attacke früher der später eine weitere Welle geben wird", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure der Deutschen Presse-Agentur.

Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben. Der britische IT-Forscher, der die Ausbreitung des Erpressungstrojaners am Freitag gestoppt hatte, glaubt sogar an eine baldige neue Attacke. "Vielleicht nicht am Wochenende, aber möglicherweise am Montagmorgen", sagte der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. "Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören." Es sei kein großer technischer Aufwand, den Software-Code zu ändern und eine neue Angriffswelle zu starten.

Am Sonntag wurde bekannt, dass das Ausmaß des Angriffs größer ist als zunächst angenommen: Nach Angaben von Europol traf die Attacke mindestens 150 Länder. "Nach der letzten Zählung hat es 200 000 Opfer gegeben", sagte der Chef der europäischen Ermittlungsbehörde, Rob Wainwright, am Sonntag dem britischen Fernsehsender ITV. Darunter seien auch große Firmen. Er rechnete außerdem noch mit einer steigenden Zahl zu Beginn der neuen Arbeitswoche. Europol schlug ein internationales Vorgehen der Behörden vor, um die Hintermänner zu finden. Wainwright hält es für wahrscheinlich, dass mehrere Personen für den Cyber-Angriff verantwortlich sind.

Die Rechner waren am Freitag von sogenannten Erpressungstrojanern befallen worden, die sie verschlüsseln und Lösegeld verlangen. Der anonyme britische Experte hatte im Code der Schadsoftware eine von den Autoren eingebaute "Notbremse" gefunden, die er auch auslöste und damit die Ausbreitung des Erpressungstrojaners vorerst stoppte. In Deutschland übernahm das Bundeskriminalamt am Samstag die Ermittlungen. Netze der Bundesregierung seien nicht betroffen gewesen, teilte das Innenministerium mit.

Tausende Unternehmen und Verbraucher stehen unterdessen vor der bangen Frage, ob sie in Kauf nehmen, dass ihre Daten in wenigen Tagen unwiederbringlich verloren gehen könnten - oder ob sie das geforderte Lösegeld bezahlen. Die Angreifer haben straffe Fristen gesetzt: Zunächst wollten sie 300 Dollar (275 Euro) für die Entsperrung, ab diesem Montag das doppelte - und am Freitag (19. Mai) werden alle Daten angeblich gelöscht.

Als erstes waren am vergangenen Freitag Fälle aus Großbritannien bekannt geworden. Nach offiziellen Angaben traf der Cyber-Angriff 48 Organisationen des staatlichen Gesundheitsdienstes NHS allein in England. In Spanien war der Telekom-Konzern Telefónica betroffen und in den USA der Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken - um die Ausbreitung der Schadsoftware zu verhindern, wie es hieß.

Bei der Deutschen Bahn fielen teilweise digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen aus. Auch die Technik zur Videoüberwachung war einem Sprecher des Bundesinnenministeriums zufolge betroffen. Die Bahn war zunächst das einzige Unternehmen in Deutschland, von dem bekannt wurde, dass es geschädigt worden war. Nach Angaben des Konzerns war der bundesweite Zugverkehr allerdings nicht beeinträchtigt. Wann genau alles wieder funktionieren sollte, war am Sonntag zunächst unklar. Um sich in Zukunft vor solchen Angriffen schützen zu können, soll sich nun eine Task Force mit dem Problem auseinandersetzen.

Die Täter hatten Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet. Die Netze anderer russischer Behörden hätten dem Angriff aber standgehalten, hieß es. In Schweden waren 70 Computer der Gemeinde Timrå betroffen, in Portugal der Telekom-Konzern Portugal Telecom. Die Waffe der Angreifer war jetzt Experten zufolge die Schadsoftware "Wanna Decryptor", auch bekannt als "Wanna Cry".

Bericht der BBC

Mitteilung des NHS - Englisch

Screenshot eines betroffenen Computers BBC-Tweet - Englisch

Bericht im "Guardian"

Analyse bei Malwarebytes

Auch interessant

Mehr zum Thema:

Meistgelesen

Skandal-Aushang: Hotel fordert Juden zum Duschen auf
Skandal-Aushang: Hotel fordert Juden zum Duschen auf
Horror-Unfall: 26-jährige Mutter in Krankenhaus von Aufzug halbiert
Horror-Unfall: 26-jährige Mutter in Krankenhaus von Aufzug halbiert
Wirbel um "true fruits"-Kampagne - Firma beleidigt Kunden heftig
Wirbel um "true fruits"-Kampagne - Firma beleidigt Kunden heftig
Fahrer rast in Pizzeria bei Paris: Mädchen (13) tot, Junge (3) in Lebensgefahr
Fahrer rast in Pizzeria bei Paris: Mädchen (13) tot, Junge (3) in Lebensgefahr

Kommentare