IT-Sicherheit:Welche Sicherheitslücke nutzten die Täter?

Die Angreifer nutzten eine Sicherheitslücke in der Windows-Software von Microsoft, die im März dieses Jahres behoben wurde. Betroffen sind demnach Computer, die ein Sicherheitsupdate von März nicht bekommen haben. Bei einem Großteil der betroffenen PCs könnte es sich um Computer handeln, die noch auf Windows XP laufen. Das Betriebssystem aus dem Jahr 2001 erhält bereits seit Ende 2014 Jahren keine offiziellen Sicherheitsupdates mehr von Microsoft. Der Analysefirma Net Marketshare zufolge sind allerdings noch sieben Prozent aller Desktop-Rechner mit dem alten Betriebssystem ausgestattet. Microsoft hat angesichts des Ausmaßes des Angriffs ein Update für Windows XP und andere, ältere Betriebssysteme veröffentlicht.

Die Verwendung rückständiger Betriebssysteme hängt oft mit Budgetfragen zusammen, Sicherheitsupdates oft mit internen organisatorischen Fragen. "Organisationen sind in der Regel furchtbar schlecht in der Verwaltung der Software-Zyklen (und, ehrlich gesagt, im IT-Management generell)", twitterte der englische IT-Spezialist Kevin Beaumont, der eine Attacke dieser Art prognostiziert hatte. "Sie häufen Sicherheitsschulden an, die dann ausgenutzt werden können."

Was hat die NSA damit zu tun?

Der Angriffscode, der diese Schwachstelle ausnutzen kann, wurde von "Shadow Brokers" veröffentlicht, einer Gruppe, die angeblich gestohlene Hacking-Tools der NSA geleakt hat. Allerdings wurde offenbar nicht das Tool selbst (Name "Eternalblue"), sondern nur Code-Teile und die NSA-Angriffsmethode verwendet.

Sind derartige Attacken schon in der Vergangenheit vorgekommen?

Ja. 2016 zahlte beispielsweise ein Krankenhaus in Los Angeles 17 000 Dollar in Bitcoins, nachdem eine Erpresser-Software Ärzte und Schwestern tagelang von ihren Computern ausgesperrt hatte.

Konnte die Software mittlerweile gestoppt werden?

Der Wurm kann in der aktuellen Variante offenbar derzeit keine Rechner mehr infizieren. Ein IT-Experte, der unter dem Twitter-Namen @MalwareTechBlog agiert und für die Sicherheitsfirma Kryptos Logic arbeitet, hat die Kontrolle über einen Domain übernommen, die sich im Code der Software verbarg. Damit hat er wohl eine Art Abschaltknopf gefunden.

Die Domainregistrierung, die um 6 Uhr morgens kalifornischer Zeit erfolgte, ist ein großer Glücksfall für Computer in den USA: Die Infektion in den Vereinigten Staaten fiel dadurch wohl deutlich geringer aus, als es möglich gewesen wäre. Allerdings kann der Abschaltknopf nicht jenen Systemen helfen, in denen bereits Rechner infiziert sind.

Wie kann man seinen Rechner vor solcher Schadsoftware schützen?

Es ist wichtig, das Betriebssystem mit den neuesten Updates zu versorgen. In diesem Fall schützte das Windows-Sicherheitsupdate vom März. Verbraucher, die ihre Software auf dem neusten Stand haben, sind vor der aktuellen Ransomware geschützt. Im Falle von bereits infizierten Rechnern hilft nur: Den PC neu aufsetzen und das jüngste verfügbare Backup einspielen.

Mitarbeit: Johannes Kuhn

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Süddeutsche Zeitung
  • Twitter-Seite der SZ
  • Facebook-Seite der SZ
  • Instagram-Seite der SZ
  • Mediadaten
  • Newsletter
  • Eilmeldungen
  • RSS
  • Apps
  • Jobs
  • Datenschutz
  • Kontakt und Impressum
  • AGB