Zum Hauptinhalt springen

IT-Sicherheit:Erpressungssoftware-Welle breitet sich global aus und legt Computer lahm

Lesezeit: 2 min

Auch das St Thomas Hospital in London war von dem Angriff betroffen. (Foto: REUTERS)
  • Hacker haben mit Malware die IT-Systeme mehrerer Organisationen und Unternehmen auf der ganzen Welt lahmgelegt.
  • In Großbritannien waren mindestens 16 Kliniken betroffen.
  • In Spanien berichtet das Telekommunikationsunternehmen Telefónica von einem Cyberangriff.
  • Das russische Innenministerium soll ebenfalls Ziel der Attacke geworden sein.

Von Lea Kramer und Hakan Tanriverdi

Ein massiver Cyberangriff hat mehr als 57 000 Computersysteme weltweit lahmgelegt. Die Betroffenen befanden sich vor allem in Europa und in Asien. Unter anderem das britische Gesundheitssystem wurde getroffen.

Bei dem Angriff wurde Experten zufolge Ransomware eingesetzt. So wird Erpresser-Software genannt, die sich auf den Rechnern installiert, Dateien verschlüsselt und dann alle weiteren Aktionen blockiert. Erst, wenn die Nutzer Geld zahlen, meist in der digitalen Währung Bitcoin, werden die Systeme wieder freigeschaltet. Allerdings nicht immer, Behörden warnen davor, Geld zu überweisen.

Hacker-Angriffe
:So funktioniert Erpresser-Software

Plötzlich sind die liebsten Urlaubsbilder in Gefahr: Kriminelle verschlüsseln fremde Computer und erpressen ihre Opfer.

Von Hakan Tanriverdi, New York

Jakub Kroustek von der IT-Sicherheitsfirma Avast teilte mit, dass sich die Schadsoftware "aggressiv" verbreite und der Schwerpunkt der Angriffe derzeit in den Ländern Russland, Ukraine und Taiwan liege.

Als erstes berichtete der nationale britische Gesundheitsdienstes National Health Service (NHS) von einem Angriff auf Krankenhäuser in ganz Großbritannien. Insgesamt waren 16 Organisationen betroffen, unter anderem in London, Blackpool, Hertfordshire und Derbyshire. Angestellte hatten keinen Zugriff mehr auf ihre Computer, zahlreiche OP-Termine mussten verschoben werden. Der NHS habe seine IT nach Bekanntwerden der Attacke abgeschaltet, deshalb hätten zeitweise auch keine Telefonanrufe angenommen werden können.

Offenbar handelte es sich bei der Ransomware um "WanaCrypt0r 2.0", die Firmen wie Avast seit Februar dieses Jahres analysieren. "Sie haben drei Tage Zeit, um die Bezahlung abzuschließen. Nach Ablauf der Frist wird sich der Preis verdoppeln. Und: Sollten Sie nicht innerhalb der kommenden sieben Tage zahlen, werden Sie ihre Daten nicht retten können", zitiert Motherboard die Mitteilung von den Bildschirmen infizierter Computer.

Plattform X

Die SZ-Redaktion hat diesen Artikel mit einem Inhalt von X Corp. angereichert

Um Ihre Daten zu schützen, wurde er nicht ohne Ihre Zustimmung geladen.

Ich bin damit einverstanden, dass mir Inhalte von X Corp. angezeigt werden. Damit werden personenbezogene Daten an den Betreiber des Portals zur Nutzungsanalyse übermittelt. Mehr Informationen und eine Widerrufsmöglichkeit finden Sie untersz.de/datenschutz.

Anscheinend haben die Hacker eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt und ausgenutzt worden war. Dokumente der NSA über die Lücke wurden ihr entwendet - noch ist unklar, wie genau - und von einer mysteriösen Hackergruppe mit dem Namen "Shadowbrokers" ins Netz gestellt. Der IT-Sicherheitsforscher Maarten van Dantzig teilte SZ.de via Twitter mit, dass er bei der Analyse der Ransomware Teile eben dieses Codes gefunden habe, "Eternalblue" genannt.

Blackout in 74 Ländern

Die spanische Regierung teilte mit, dass mehrere Unternehmen das Ziel von Ransomware-Angriffen geworden seien. Dem Innenministerium zufolge wurden vor allem Windows-Betriebssysteme angegriffen. Dateien seien blockiert und Lösegeld gefordert worden. Die Attacke hatte demnach keine Auswirkungen auf die Dienste der Firmen oder die Daten ihrer Kunden.

Innerhalb weniger Stunden seien infizierte Rechner in zwölf Ländern aufgetaucht, darunter auch in Deutschland, schreibt das Team von MalwareHunter auf Twitter. Wenig später berichtete die Sicherheitsfirma Kaspersky Lab von 74 angegriffenen Ländern.

Bei einer der attackierten Firmen handelt es sich um das Telekommunikationsunternehmen Telefónica. Das Unternehmen bestätigte einen Angriff auf die IT-Systeme der Mitarbeiter am Freitag, gab aber keine weiteren Details zu dem Vorfall bekannt. Ein Pressesprecher teilte mit, dass der Vorfall sich vor allem auf Spanien beziehe. Die Welle "wirkte sich bei uns in Deutschland nur auf wenige interne Anwendungen aus. Kunden und Netz sind nicht betroffen."

Nach eigenen Angaben sollen etwa 1000 Computer des russischen Innenministeriums getroffen worden sein. Experten arbeiteten nun daran, das System wiederherzustellen und notwendige Sicherheitsupdates vorzunehmen, sagte eine Behördensprecherin. Russische Medien berichteten, das Ermittlungskomitee, die höchste Behörde Russlands für strafrechtliche Untersuchungen, sei ebenfalls ins Ziel des Angriffs gewesen. Das Komitee bestritt diese Berichte. Der russische Mobilfunkanbieter Megafon erklärte, auch bei ihm habe es einen Cyberangriff gegeben.

Im vergangenen Jahr hatte ein Erpresser die größte Klinik in Neuss mit Ransomware zum Stillstand gebracht. Vermutlich über E-Mail wurde dort ein Trojaner in das System eingeschleust. Damals entstand ein Schaden von 750 000 Euro.

© SZ.de/AP/dpa/lkr - Rechte am Artikel können Sie hier erwerben.
Zur SZ-Startseite

IT-Sicherheit
:Mysteriöse Gruppe offenbart mutmaßliche Hacking-Angriffe der NSA

Der US-Geheimdienst soll unter anderem Banken ausgespäht haben - und Windows-Betriebssysteme. Doch Nutzer können sich schützen.

Von Hakan Tanriverdi

Lesen Sie mehr zum Thema

SZ Stellenmarkt
:Entdecken Sie attraktive Jobs

In anspruchsvollen Berufsfeldern im Stellenmarkt der SZ.

Jetzt entdecken

Gutscheine:

Zur SZ-Startseite