Chaos am Flughafen Kiew, an Supermarktkassen, im Atomkraftwerk Tschernobyl: Weltweit legte eine neue Erpresser-Software am Dienstag Windows-Computersysteme lahm. Ihre Urheber wollen 300 US-Dollar Lösegeld pro Computer, bevor sie ihn wieder freigeben. Opfer haben schon mehr als 10 000 Dollar gezahlt.
Was ist Erpresser-Software?
Ransomware nennt man Programme, die das Betriebssystem für seinen Nutzer sperren. Dafür werden entweder einzelne relevante Dateien verschlüsselt oder Teile der Festplatte. Bei der aktuellen Variante, die Fachleute Petna getauft haben, werden die infizierten Rechner binnen einer Stunde zum Neustart gezwungen. Anschließend wird eine Botschaft angezeigt: "Ups, Ihre wichtigen Dateien wurden verschlüsselt." Die Angreifer fordern Lösegeld, um die Dateien wieder freizugeben.
Wer ist betroffen?
Es geht um mehr als 10 000 Computer. Der Schwerpunkt der Angriffe lag klar bei zwei Staaten. Einer Analyse der IT-Sicherheitsfirma Kaspersky zufolge liegen 60 Prozent der betroffenen Systeme in der Ukraine, 30 Prozent in Russland. Zu den Unternehmen, die Erpressungen gemeldet haben, zählen die dänische Reederei Maersk, der russische Ölproduzent Rosneft, der US-Pharmakonzern Merck und der US-Lebensmittelkonzern Mondelez (Marken Milka, Oreo). An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste Radioaktivität nach dem Computerausfall manuell gemessen werden. Wichtige technische Systeme der Station funktionierten aber normal.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, in Deutschland seien "einige Unternehmen" angegriffen worden, Details nannte die Behörde nicht. Metro bestätigte, dass das Unternehmen betroffen ist. Es seien aber nur einige Arbeits-PCs in der Ukraine befallen worden, ohne Auswirkungen auf die Kunden in den dortigen Großmärkten. Beim Konsumgüterhersteller Beiersdorf fielen in der Hamburger Zentrale und den weltweiten Niederlassungen IT- und Telefonsysteme aus, so eine Sprecherin. E-Mails an die Pressestelle kamen nicht durch. Das Virus verbreitet sich innerhalb global operierender Firmen.
Wie verbreitet sich Petna?
IT-Sicherheitsforschern zufolge nutzt die Software mehrere Wege auf die Computer, darunter eine Schwachstelle namens "Eternalblue" im sogenannten SMB-Protokoll, die vom US-Geheimdienst entdeckt wurde. Über SMB wird geregelt, welche Dateien und Verzeichnisse in einem Netzwerk freigegeben werden. Diesen Weg nutzt die Software, um auf andere Rechner zu kommen. Die Schwachstelle wurde schon beim Wanna-Cry-Angriff genutzt, der vor einem Monat weltweit Systeme lahmlegte. "Viele Organisationen haben ihre Systeme noch nicht auf den aktuellen Stand gebracht", sagt IT-Fachmann Jake Williams. Petna verwendet zudem mindestens zwei Windows-Funktionen, um sich intern in Netzwerken zu verbreiten. Fabian Wosar von der IT-Sicherheitsfirma Emsisoft erklärt: Sei ein Rechner mit Petna infiziert, der über die notwendigen Administratoren-Rechte im Netzwerk verfüge, verbreite sich die Malware von dort weiter. Unklar ist, wie die weltweite Verbreitung läuft. Die beschriebenen Wege werden genutzt, um sich innerhalb eines Netzwerkes zu bewegen. Doch wie konnte sie überhaupt auf die Maschinen gelangen? Eine ukrainische Firma kommt ins Spiel.
Welche Rolle spielt die Firma Medoc?
Mehrere IT-Sicherheitsfirmen weisen darauf hin, dass die Software-Firma Medoc für die Verbreitung von Petna verantwortlich sein könnte. Das würde erklären, warum die Ukraine besonders betroffen ist. Software der Firma wird für die Buchhaltung eingesetzt. Microsoft erklärte, seine Analysten könnten beweisen, dass einige Infektionen von Medoc ausgingen. Den Sicherheitsforschern zufolge wurde der Update-Prozess von Medoc gekapert: Jeder Firma, die sich die neue Version der Software herunterlud, wurde ein Datenpaket mit in den Download in ihr System geschmuggelt. Auch die für Cyberkriminalität zuständige Polizei der Ukraine erklärte Medoc für verdächtig. Die Firma selbst bestreitet, dass ihr System für den Angriff ausgenutzt wurde.
Lässt sich der Angriff stoppen?
Ist ein PC infiziert, sollten Nutzer einen Neustart verhindern, sagt IT-Sicherheitsexperte Matthew Hickey. Der Rechner verschlüssele die Dateien erst nach dem Neustart. Stattdessen sollten Nutzer das System per Betriebssystem-CD starten, um die Dateien noch zu retten. Haben Nutzer den Rechner aber schon neu gestartet, sind die Dateien verschlüsselt - vielleicht unwiederbringlich. Deshalb empfehlen IT-Sicherheitsforscher regelmäßige Back-ups.
Lohnt es sich, Lösegeld zu zahlen?
Nein. Experten raten davon ab zu zahlen. Es gibt genug Beispiele, bei denen Systeme verschlüsselt blieben, nachdem Lösegeld gezahlt wurde. Hinzu kommt, dass die Betreiber von Petna eine E-Mail-Adresse des deutschen Anbieters Posteo verwendet haben. Sobald das Lösegeld bezahlt wurde, sollten Opfer den Zahlungsbeleg an diese Adresse schicken. Doch Posteo hat das Mail-Konto gesperrt. Es gibt für Opfer also derzeit keinen Weg, mit den Angreifern zu kommunizieren, selbst wenn sie bezahlten. An ihre Daten kommen sie wohl auch nach Zahlung nicht mehr.
Wer ist schuld an der Sicherheitslücke?
Der Angriff findet vor dem Hintergrund einer Debatte über Geheimdienste und ihre Verantwortung für IT-Sicherheit in der Gesellschaft statt. Denn die Sicherheitslücke, die Petna ausnutzt, wurde ursprünglich von der NSA entdeckt. Geheimdienste halten solche Lücken in einigen Fällen geheim, um den Herstellern keine Möglichkeit zu geben, sie zu schließen. So wollen sie die Lücken für Spionage oder Sabotage ausnutzen. Im Fall von Eternalblue verlor die NSA aber die Kontrolle. Unbekannte hackten eine Hacker-Gruppe, die zur NSA gehören soll, und veröffentlichten Informationen über die Schwachstelle. Nun können auch Kriminelle den Angriff durchführen, wie schon im Fall Wanna Cry. Dennoch ist es zu einfach, die Verantwortung nur bei den US-Spionen zu suchen - sie haben die Schwachstelle ja nicht eingebaut, sondern nur entdeckt. Und Firmen mit über Jahre für eigene Zwecke optimierten Systemen tun sich oft schwer, neue Versionen von Betriebssystemen aufzuspielen. Sie schieben die Sicherheitsmaßnahme oft aus Zeit- und Kostengründen auf.