IT-Sicherheit BKA ermittelt nach Cyber-Attacke

Cyber-Attacken erreichen auch die Deutsche Bahn: Eine elektronische Anzeigentafel im Hauptbahnhof Leipzig.

(Foto: dpa)
  • Rund um den Globus sind Computer von einer schweren Cyber-Attacke betroffen.
  • In Deutschland attackierte das Schadprogramm die Deutsche Bahn. Anzeigetafeln und Ticketautomaten fielen aus.
  • Die Angreifer nutzen eine Sicherheitslücke in Microsofts Betriebssystem Windows. Sie wurde im März geschlossen. Wer das Update nicht installiert hat, kann zu den Opfern zählen.
Von Cerstin Gammelin, Larissa Holzki und Beate Wild

Eine Schadsoftware hat sich von Freitagabend an rasant verbreitet und mehr als 75 000 Computersysteme in 99 Ländern weltweit lahmgelegt, darunter auch IT-Systeme großer Organisationen und Firmen wie der Deutschen Bahn. Befallen wurden Rechner mit dem Microsoft-Betriebssystem Windows. Noch nicht geklärt ist, ob es sich um eine koordinierte Attacke auf gezielt ausgewählte Systeme handelt.

Welche Fälle sind bekannt?

Das größte Aufsehen erregen die Ausfälle im britischen Gesundheitssystem. Der britische Gesundheitsdienst National Health Service (NHS) berichtet von infizierten Krankenhaus-Rechnern im ganzen Land. Mindestens 21 Kliniken berichten von größeren Störungen. Angestellte hatten keinen Zugriff mehr auf ihre Computer, zahlreiche OP-Termine mussten verschoben werden. Weil der NHS wegen der Attacke seine IT abschalten musste, konnten zeitweise auch keine Telefonanrufe entgegengenommen werden. Einige betroffene Krankenhäuser könnten nur noch dringende Notfälle annehmen und zum Beispiel keine Röntgenaufnahmen mehr durchführen, berichtet der britische Guardian.

So funktioniert Erpresser-Software

Plötzlich sind die liebsten Urlaubsbilder in Gefahr: Kriminelle verschlüsseln fremde Computer und erpressen ihre Opfer. Von Hakan Tanriverdi, New York mehr ...

Der spanische Konzern Telefónica, hierzulande vor allem bekannt für die Marke O2, bestätigte den Angriff. In den USA verbreitete sich die Schadsoftware auf Rechnern der Logistikfirma Fedex. Mitarbeiter berichten, dass die Computer bis Montag heruntergefahren wurden. Der französische Autobauer Renault hat wegen der Attacke die Produktion in einigen Werken in Frankreich gestoppt. Am stärksten sind Analysten der Sicherheitsfirma Avast zufolge Russland, die Ukraine und Taiwan betroffen. Das russische Innenministerium bestätigte, dass etwa 1000 Computer infiziert seien.

Wie ist die Lage in Deutschland?

Das Bundeskriminalamt ermittelt wegen der Attacke, teilte die Behörde am Samstag mit. Prominentes Opfer hierzulande ist die Deutsche Bahn. Der Zugverkehr sei nicht beeinträchtigt gewesen, teilte die Bahn mit. Betroffen seien Anzeigetafeln, Ticketautomaten und die Videoüberwachung an einzelnen Bahnhöfen. "Sicherheitsrelevante Systeme sind nicht betroffen", sagte ein Sprecher der Bahn.

Auf Twitter posteten einige Nutzer Fotos von Anzeigetafeln der Deutschen Bahn, auf denen ein Pop-up-Fenster zu sehen war mit dem Satz "Ooops, your files have been encrypted!", auf Deutsch: "Hoppla, deine Dateien sind verschlüsselt worden!". Wann die Anzeigetafeln überall wieder funktionieren, ist unklar. Die betroffenen Systeme müssten vor Ort einzeln entstört werden, sagte der Bahn-Sprecher. Die Fahrplanauskunft im Netz ist nicht betroffen.

Ihre Videoaufzeichnung stellt die Bahn auch für die Bundespolizei bereit. Auf deren Arbeit wirkt sich die Störungen somit ebenfalls aus. Die Computernetze der Bundespolizei waren von den Angriffen aber nicht betroffen, sagte ein Sprecher des Bundesinnenministeriums. Auch für die Bundesregierung und andere Bundesbehörden sei dies zum gegenwärtigen Zeitpunkt auszuschließen, sagte er.

Cybersicherheit war eins der Themen auf dem G-7-Finanzgipfel an diesem Samstag in Italien. Bundesfinanzminister Wolfgang Schäuble zeigte sich besorgt über die Angriffe. "Die Vorfälle haben noch einmal die Bedeutung der Cyber-Risiken unterstrichen", sagte er. Finanzinstitute seien zwar in besonderer Weise attraktiv für Cyber-Verbrecher, das sei aber ein Thema für alle. Innere Sicherheit sei ebenso betroffen wie die Nachrichtendienste. Der G-7-Finanzgipfel habe deshalb die Staats- und Regierungschefs aufgefordert, darüber zu beraten. Aufgrund der zunehmenden Attacken steige auch das Bedürfnis nach einer Versicherung gegen Cyberattacken, sagte Schäuble.

Was genau macht die Schadsoftware?

Die Experten des Antiviren-Spezialisten Kaspersky Lab haben die Schadsoftware "WannaCry" (auch: Wcrypt, Wanacrypt, Wana Decryptor) infiziert. Die sogenannte Ransomware installiert sich auf Rechnern, verschlüsselt Daten und blockiert dann alle weiteren Aktionen. Erst wenn die Nutzer Geld zahlen, werden die Systeme wieder freigeschaltet. Daher der Name Ransomware, der auf Deutsch Erpresser-Software bedeutet. Die Zahlung in Höhe von 300 US-Dollar soll mittels der digitalen Währung Bitcoin erfolgen. Experten warnen allerdings davor, leichtfertig Geld zu überweisen, da es nicht gewährleistet ist, dass nach der Zahlung die Systeme wieder freigeschalten werden. Hier ein ausführliches PDF des Bundesamts für Sicherheit in der Informationstechnik zu Ransomware.

Wieso konnte sich die Software so schnell verbreiten?

"WannaCry" verbreitet sich wie ein Computerwurm: In einem größeren Computernetzwerk genügt wohl die Infektion eines einzigen Rechners. Die Software sucht dann innerhalb des Netzwerks weitere PCs mit Sicherheitslücken und dringt dort ebenfalls ein. Diese hohe Infektionsrate sorgte dafür, dass die Auswirkungen so drastisch sind und die Öffentlichkeit von vielen unterschiedlichen Fällen erfährt.