IT-Sicherheit:Erpressungssoftware-Welle breitet sich global aus und legt Computer lahm

Ambulance waits outside ER at St Thomas' Hospital in London

Auch das St Thomas Hospital in London war von dem Angriff betroffen.

(Foto: REUTERS)
  • Hacker haben mit Malware die IT-Systeme mehrerer Organisationen und Unternehmen auf der ganzen Welt lahmgelegt.
  • In Großbritannien waren mindestens 16 Kliniken betroffen.
  • In Spanien berichtet das Telekommunikationsunternehmen Telefónica von einem Cyberangriff.
  • Das russische Innenministerium soll ebenfalls Ziel der Attacke geworden sein.

Von Lea Kramer und Hakan Tanriverdi

Ein massiver Cyberangriff hat mehr als 57 000 Computersysteme weltweit lahmgelegt. Die Betroffenen befanden sich vor allem in Europa und in Asien. Unter anderem das britische Gesundheitssystem wurde getroffen.

Bei dem Angriff wurde Experten zufolge Ransomware eingesetzt. So wird Erpresser-Software genannt, die sich auf den Rechnern installiert, Dateien verschlüsselt und dann alle weiteren Aktionen blockiert. Erst, wenn die Nutzer Geld zahlen, meist in der digitalen Währung Bitcoin, werden die Systeme wieder freigeschaltet. Allerdings nicht immer, Behörden warnen davor, Geld zu überweisen.

Jakub Kroustek von der IT-Sicherheitsfirma Avast teilte mit, dass sich die Schadsoftware "aggressiv" verbreite und der Schwerpunkt der Angriffe derzeit in den Ländern Russland, Ukraine und Taiwan liege.

Als erstes berichtete der nationale britische Gesundheitsdienstes National Health Service (NHS) von einem Angriff auf Krankenhäuser in ganz Großbritannien. Insgesamt waren 16 Organisationen betroffen, unter anderem in London, Blackpool, Hertfordshire und Derbyshire. Angestellte hatten keinen Zugriff mehr auf ihre Computer, zahlreiche OP-Termine mussten verschoben werden. Der NHS habe seine IT nach Bekanntwerden der Attacke abgeschaltet, deshalb hätten zeitweise auch keine Telefonanrufe angenommen werden können.

Offenbar handelte es sich bei der Ransomware um "WanaCrypt0r 2.0", die Firmen wie Avast seit Februar dieses Jahres analysieren. "Sie haben drei Tage Zeit, um die Bezahlung abzuschließen. Nach Ablauf der Frist wird sich der Preis verdoppeln. Und: Sollten Sie nicht innerhalb der kommenden sieben Tage zahlen, werden Sie ihre Daten nicht retten können", zitiert Motherboard die Mitteilung von den Bildschirmen infizierter Computer.

Anscheinend haben die Hacker eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt und ausgenutzt worden war. Dokumente der NSA über die Lücke wurden ihr entwendet - noch ist unklar, wie genau - und von einer mysteriösen Hackergruppe mit dem Namen "Shadowbrokers" ins Netz gestellt. Der IT-Sicherheitsforscher Maarten van Dantzig teilte SZ.de via Twitter mit, dass er bei der Analyse der Ransomware Teile eben dieses Codes gefunden habe, "Eternalblue" genannt.

Blackout in 74 Ländern

Die spanische Regierung teilte mit, dass mehrere Unternehmen das Ziel von Ransomware-Angriffen geworden seien. Dem Innenministerium zufolge wurden vor allem Windows-Betriebssysteme angegriffen. Dateien seien blockiert und Lösegeld gefordert worden. Die Attacke hatte demnach keine Auswirkungen auf die Dienste der Firmen oder die Daten ihrer Kunden.

Innerhalb weniger Stunden seien infizierte Rechner in zwölf Ländern aufgetaucht, darunter auch in Deutschland, schreibt das Team von MalwareHunter auf Twitter. Wenig später berichtete die Sicherheitsfirma Kaspersky Lab von 74 angegriffenen Ländern.

Bei einer der attackierten Firmen handelt es sich um das Telekommunikationsunternehmen Telefónica. Das Unternehmen bestätigte einen Angriff auf die IT-Systeme der Mitarbeiter am Freitag, gab aber keine weiteren Details zu dem Vorfall bekannt. Ein Pressesprecher teilte mit, dass der Vorfall sich vor allem auf Spanien beziehe. Die Welle "wirkte sich bei uns in Deutschland nur auf wenige interne Anwendungen aus. Kunden und Netz sind nicht betroffen."

Nach eigenen Angaben sollen etwa 1000 Computer des russischen Innenministeriums getroffen worden sein. Experten arbeiteten nun daran, das System wiederherzustellen und notwendige Sicherheitsupdates vorzunehmen, sagte eine Behördensprecherin. Russische Medien berichteten, das Ermittlungskomitee, die höchste Behörde Russlands für strafrechtliche Untersuchungen, sei ebenfalls ins Ziel des Angriffs gewesen. Das Komitee bestritt diese Berichte. Der russische Mobilfunkanbieter Megafon erklärte, auch bei ihm habe es einen Cyberangriff gegeben.

Im vergangenen Jahr hatte ein Erpresser die größte Klinik in Neuss mit Ransomware zum Stillstand gebracht. Vermutlich über E-Mail wurde dort ein Trojaner in das System eingeschleust. Damals entstand ein Schaden von 750 000 Euro.

Zur SZ-Startseite

Lesen Sie mehr zum Thema