Süddeutsche Zeitung

IT-Sicherheit:BKA ermittelt nach Cyber-Attacke

  • Rund um den Globus sind Computer von einer schweren Cyber-Attacke betroffen.
  • In Deutschland attackierte das Schadprogramm die Deutsche Bahn. Anzeigetafeln und Ticketautomaten fielen aus.
  • Die Angreifer nutzen eine Sicherheitslücke in Microsofts Betriebssystem Windows. Sie wurde im März geschlossen. Wer das Update nicht installiert hat, kann zu den Opfern zählen.

Von Cerstin Gammelin, Larissa Holzki und Beate Wild

Eine Schadsoftware hat sich von Freitagabend an rasant verbreitet und mehr als 75 000 Computersysteme in 99 Ländern weltweit lahmgelegt, darunter auch IT-Systeme großer Organisationen und Firmen wie der Deutschen Bahn. Befallen wurden Rechner mit dem Microsoft-Betriebssystem Windows. Noch nicht geklärt ist, ob es sich um eine koordinierte Attacke auf gezielt ausgewählte Systeme handelt.

Welche Fälle sind bekannt?

Das größte Aufsehen erregen die Ausfälle im britischen Gesundheitssystem. Der britische Gesundheitsdienst National Health Service (NHS) berichtet von infizierten Krankenhaus-Rechnern im ganzen Land. Mindestens 21 Kliniken berichten von größeren Störungen. Angestellte hatten keinen Zugriff mehr auf ihre Computer, zahlreiche OP-Termine mussten verschoben werden. Weil der NHS wegen der Attacke seine IT abschalten musste, konnten zeitweise auch keine Telefonanrufe entgegengenommen werden. Einige betroffene Krankenhäuser könnten nur noch dringende Notfälle annehmen und zum Beispiel keine Röntgenaufnahmen mehr durchführen, berichtet der britische Guardian.

Der spanische Konzern Telefónica, hierzulande vor allem bekannt für die Marke O2, bestätigte den Angriff. In den USA verbreitete sich die Schadsoftware auf Rechnern der Logistikfirma Fedex. Mitarbeiter berichten, dass die Computer bis Montag heruntergefahren wurden. Der französische Autobauer Renault hat wegen der Attacke die Produktion in einigen Werken in Frankreich gestoppt. Am stärksten sind Analysten der Sicherheitsfirma Avast zufolge Russland, die Ukraine und Taiwan betroffen. Das russische Innenministerium bestätigte, dass etwa 1000 Computer infiziert seien.

Wie ist die Lage in Deutschland?

Das Bundeskriminalamt ermittelt wegen der Attacke, teilte die Behörde am Samstag mit. Prominentes Opfer hierzulande ist die Deutsche Bahn. Der Zugverkehr sei nicht beeinträchtigt gewesen, teilte die Bahn mit. Betroffen seien Anzeigetafeln, Ticketautomaten und die Videoüberwachung an einzelnen Bahnhöfen. "Sicherheitsrelevante Systeme sind nicht betroffen", sagte ein Sprecher der Bahn.

Auf Twitter posteten einige Nutzer Fotos von Anzeigetafeln der Deutschen Bahn, auf denen ein Pop-up-Fenster zu sehen war mit dem Satz "Ooops, your files have been encrypted!", auf Deutsch: "Hoppla, deine Dateien sind verschlüsselt worden!". Wann die Anzeigetafeln überall wieder funktionieren, ist unklar. Die betroffenen Systeme müssten vor Ort einzeln entstört werden, sagte der Bahn-Sprecher. Die Fahrplanauskunft im Netz ist nicht betroffen.

Ihre Videoaufzeichnung stellt die Bahn auch für die Bundespolizei bereit. Auf deren Arbeit wirkt sich die Störungen somit ebenfalls aus. Die Computernetze der Bundespolizei waren von den Angriffen aber nicht betroffen, sagte ein Sprecher des Bundesinnenministeriums. Auch für die Bundesregierung und andere Bundesbehörden sei dies zum gegenwärtigen Zeitpunkt auszuschließen, sagte er.

Cybersicherheit war eins der Themen auf dem G-7-Finanzgipfel an diesem Samstag in Italien. Bundesfinanzminister Wolfgang Schäuble zeigte sich besorgt über die Angriffe. "Die Vorfälle haben noch einmal die Bedeutung der Cyber-Risiken unterstrichen", sagte er. Finanzinstitute seien zwar in besonderer Weise attraktiv für Cyber-Verbrecher, das sei aber ein Thema für alle. Innere Sicherheit sei ebenso betroffen wie die Nachrichtendienste. Der G-7-Finanzgipfel habe deshalb die Staats- und Regierungschefs aufgefordert, darüber zu beraten. Aufgrund der zunehmenden Attacken steige auch das Bedürfnis nach einer Versicherung gegen Cyberattacken, sagte Schäuble.

Was genau macht die Schadsoftware?

Die Experten des Antiviren-Spezialisten Kaspersky Lab haben die Schadsoftware "WannaCry" (auch: Wcrypt, Wanacrypt, Wana Decryptor) infiziert. Die sogenannte Ransomware installiert sich auf Rechnern, verschlüsselt Daten und blockiert dann alle weiteren Aktionen. Erst wenn die Nutzer Geld zahlen, werden die Systeme wieder freigeschaltet. Daher der Name Ransomware, der auf Deutsch Erpresser-Software bedeutet. Die Zahlung in Höhe von 300 US-Dollar soll mittels der digitalen Währung Bitcoin erfolgen. Experten warnen allerdings davor, leichtfertig Geld zu überweisen, da es nicht gewährleistet ist, dass nach der Zahlung die Systeme wieder freigeschalten werden. Hier ein ausführliches PDF des Bundesamts für Sicherheit in der Informationstechnik zu Ransomware.

Wieso konnte sich die Software so schnell verbreiten?

"WannaCry" verbreitet sich wie ein Computerwurm: In einem größeren Computernetzwerk genügt wohl die Infektion eines einzigen Rechners. Die Software sucht dann innerhalb des Netzwerks weitere PCs mit Sicherheitslücken und dringt dort ebenfalls ein. Diese hohe Infektionsrate sorgte dafür, dass die Auswirkungen so drastisch sind und die Öffentlichkeit von vielen unterschiedlichen Fällen erfährt.

Welche Sicherheitslücke nutzten die Täter?

Die Angreifer nutzten eine Sicherheitslücke in der Windows-Software von Microsoft, die im März dieses Jahres behoben wurde. Betroffen sind demnach Computer, die ein Sicherheitsupdate von März nicht bekommen haben. Bei einem Großteil der betroffenen PCs könnte es sich um Computer handeln, die noch auf Windows XP laufen. Das Betriebssystem aus dem Jahr 2001 erhält bereits seit Ende 2014 Jahren keine offiziellen Sicherheitsupdates mehr von Microsoft. Der Analysefirma Net Marketshare zufolge sind allerdings noch sieben Prozent aller Desktop-Rechner mit dem alten Betriebssystem ausgestattet. Microsoft hat angesichts des Ausmaßes des Angriffs ein Update für Windows XP und andere, ältere Betriebssysteme veröffentlicht.

Die Verwendung rückständiger Betriebssysteme hängt oft mit Budgetfragen zusammen, Sicherheitsupdates oft mit internen organisatorischen Fragen. "Organisationen sind in der Regel furchtbar schlecht in der Verwaltung der Software-Zyklen (und, ehrlich gesagt, im IT-Management generell)", twitterte der englische IT-Spezialist Kevin Beaumont, der eine Attacke dieser Art prognostiziert hatte. "Sie häufen Sicherheitsschulden an, die dann ausgenutzt werden können."

Was hat die NSA damit zu tun?

Der Angriffscode, der diese Schwachstelle ausnutzen kann, wurde von "Shadow Brokers" veröffentlicht, einer Gruppe, die angeblich gestohlene Hacking-Tools der NSA geleakt hat. Allerdings wurde offenbar nicht das Tool selbst (Name "Eternalblue"), sondern nur Code-Teile und die NSA-Angriffsmethode verwendet.

Sind derartige Attacken schon in der Vergangenheit vorgekommen?

Ja. 2016 zahlte beispielsweise ein Krankenhaus in Los Angeles 17 000 Dollar in Bitcoins, nachdem eine Erpresser-Software Ärzte und Schwestern tagelang von ihren Computern ausgesperrt hatte.

Konnte die Software mittlerweile gestoppt werden?

Der Wurm kann in der aktuellen Variante offenbar derzeit keine Rechner mehr infizieren. Ein IT-Experte, der unter dem Twitter-Namen @MalwareTechBlog agiert und für die Sicherheitsfirma Kryptos Logic arbeitet, hat die Kontrolle über einen Domain übernommen, die sich im Code der Software verbarg. Damit hat er wohl eine Art Abschaltknopf gefunden.

Die Domainregistrierung, die um 6 Uhr morgens kalifornischer Zeit erfolgte, ist ein großer Glücksfall für Computer in den USA: Die Infektion in den Vereinigten Staaten fiel dadurch wohl deutlich geringer aus, als es möglich gewesen wäre. Allerdings kann der Abschaltknopf nicht jenen Systemen helfen, in denen bereits Rechner infiziert sind.

Wie kann man seinen Rechner vor solcher Schadsoftware schützen?

Es ist wichtig, das Betriebssystem mit den neuesten Updates zu versorgen. In diesem Fall schützte das Windows-Sicherheitsupdate vom März. Verbraucher, die ihre Software auf dem neusten Stand haben, sind vor der aktuellen Ransomware geschützt. Im Falle von bereits infizierten Rechnern hilft nur: Den PC neu aufsetzen und das jüngste verfügbare Backup einspielen.

Mitarbeit: Johannes Kuhn

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.3504053
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ.de/dit/lho
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.