Der Angriff verbreitete sich rasant. Der französische Autokonzern Renault fuhr die Produktion herunter, die Deutsche Bahn hatte Probleme. Eine globale Cyber-Attacke erschüttert die Welt - und konnte nur durch Zufall von einem smarten IT-Sicherheitsforscher gestoppt werden. Aber sie kann sich jederzeit wiederholen. Es sei binnen weniger Minuten möglich, diesen Angriff erneut auszuführen, sagt der IT-Sicherheitsforscher Matthew Hickey. Schon bald könnten wieder Krankenhäuser damit kämpfen, Patienten versorgen zu können.
Der außergewöhnliche Angriff richtet den Fokus auf die Rolle der Geheimdienste im Internet. Denn die Geschichte hinter der Erpresser-Software hängt mit Sicherheitslücken zusammen, die höchstwahrscheinlich vom US-Geheimdienst NSA gefunden und genutzt wurden. Eine mysteriöse Hackergruppe mit dem Namen "Shadowbrokers" stellte die Angriffs-Werkzeuge der NSA ins Netz. Damit können diese Werkzeuge auch von kriminellen Hackern eingesetzt werden.
SZ Jetzt WannaCry:IT-Experte stoppt zufällig Schadsoftware
Er brauchte nur 10,69 Dollar und eine Idee: Der Blogger "MalwareTech" hält die weltweite Cyber-Attacke auf - ohne es zu wollen.
Der Bundesnachrichtendienst (BND) steckt in einem ähnlichen Dilemma wie die NSA. Einerseits soll der BND in der Lage dazu sein, Cyber-Angriffe von Kriminellen und Terroristen zu unterbinden. Dafür, argumentieren die Dienste, muss ein Nachrichtendienst auch das Wissen um Schwachstellen für sich behalten dürfen. Nachrichtendienste können damit zum Beispiel unbemerkt Chats mitlesen, Server knacken und Smartphones orten. Andererseits können diese Lücken für Attacken wie nun bei WannaCry ausgenutzt werden.
Die Erpresser-Software mit dem Namen WCry oder WannaCry installiert sich auf einem Rechner. Ausgelöst wird die Attacke, wenn eine Person nichts ahnend auf einen E-Mail-Anhang klickt. Die von der NSA gefundene Schwachstelle ermöglicht es, im Netz des Rechners nach weiteren Geräten zu suchen, die sich ebenfalls ausnutzen lassen. So verbreitet sich der Wurm fort, auf diese Weise wurden binnen weniger Stunden Zehntausende Systeme in mehr als 90 Ländern infiziert.
Jeder infizierte Rechner wird gesperrt und nur gegen ein Lösegeld freigegeben. Behörden warnen davor, dieses Geld zu zahlen. Denn es gebe keine Garantie, dass die Systeme danach wieder freigeschaltet werden. Die bessere Strategie ist es, ein Back-up zu installieren - falls es denn vorhanden ist.
Um sich vor dem Angriff zu schützen, müssen Administratoren bei allen potenziell anfälligen Rechnern ein Update von Microsoft einspielen. Es ist bereits seit März erhältlich. Gerade Krankenhäuser gelten als besonders schlecht gesicherte Systeme. Die Kliniken in Großbritannien verlassen sich größtenteils noch auf Windows XP, wie die Tech-Seite The Register Ende 2016 berichtete. Daher bekommen Institutionen, die IT-Sicherheit vernachlässigen, jetzt viel Kritik. "Patcht eure Systeme", schreibt zum Beispiel der IT-Sicherheitsforscher Rob Graham. Für XP bietet Microsoft nun ein Notfall-Update an. XP ist so alt, dass Windows die Software eigentlich nicht mehr aktualisiert.
Die NSA gibt gerne damit an, 91 Prozent aller Informationen über Schwachstellen an betroffene Firmen weiterzugeben. Das mache das Internet sicherer, die Behörde werde ihrem Namen gerecht: Das S im Namen der NSA steht für Security, Sicherheit. Doch das heißt im Umkehrschluss auch, dass die NSA sich bewusst dazu entscheidet, gewisse Informationen über Schwachstellen für sich zu behalten.
Unklar ist, wie genau Microsoft auf die nun ausgenutzten Sicherheitslücken aufmerksam wurde. Denn der Konzern hatte die Lücken bereits geschlossen, bevor die Shadowbroker-Hacker sie veröffentlichten. Da die Shadowbroker jedoch Anfang Januar angedeutet hatten, im Besitz dieser Angriffswerkzeuge zu sein, ist die Vermutung nun folgende: Nachdem der NSA aufgefallen war, dass diese Werkzeuge nun auch in den Händen Dritter waren, warnte die Behörde Microsoft. Belegt ist das nicht. Von Microsoft selbst kommt keine Stellungnahme.
Netzaktivisten fordern nun ein Umdenken bei den Nachrichtendiensten. "Für jegliche Behörde muss an oberster Stelle stehen, Menschenleben zu retten. Wenn Sicherheitslücken ausgenutzt und geheimgehalten und dann Krankenhäuser gefährdet werden, machen sich diese Dienste mitschuldig", sagt die Netzaktivistin Katharina Nocun. Sie habe nach dem Kinobesuch an einem S-Bahn-Automaten gestanden, der gesponnen habe. Auch die Deutsche Bahn war betroffen. Der Zugverkehr war zwar nicht beeinträchtigt, jedoch sehr wohl Anzeigetafeln und Ticketautomaten.
Geheimdienste wie der BND geben viel Geld aus, um Schwachstellen entweder systematisch zu finden oder aber auf dem Graumarkt einzukaufen. Netz-Aktivistin Nocun fordert einen anderen Umgang mit Steuergeldern. "Natürlich wäre es sinnvoller, dieses Geld dem Bundesamt für Sicherheit in der Informationstechnik zu geben, damit diese Lücken direkt an die Hersteller weitergeleitet werden." Die Pressestelle des BND war am Wochenende nicht für eine Stellungnahme zu erreichen.
Womöglich kommt der nächste Angriff ohne Panik-Knopf
Die Angriffswelle ist mittlerweile abgeebbt. Jedoch ist das nur deshalb der Fall, da der oder die Hacker eine Art Notfall-Mechanismus in ihre Erpresser-Software eingebaut haben. Es ist derzeit unklar, ob das absichtlich eingebaut wurde oder einen anderen Zweck erfüllen sollte. Ist es der Software möglich, eine bestimmte Webseite zu erreichen, deaktiviert sie sich. Das entspricht einem Panik-Knopf, der die Aktion abbricht. Das ist dem Hacker mit dem Twitter-Konto @Malwaretechblog aufgefallen. Kurzerhand prüfte er die Adresse der Webseite und erkannte, dass diese noch zu kaufen war. Das tat er - und stoppte den Angriff, in dem er zehn Dollar für das Erwerben und Kontrollieren der Webseite ausgab. In seinem Blog erklärt er die Details.
Doch es ist gut möglich, dass die Erpresser-Software erneut eingesetzt wird. Womöglich diesmal sogar ohne Panik-Knopf. IT-Sicherheitsforscher Hickey warnt davor, dass zukünftige Varianten noch größeren Schaden verursachen könnten, auch im Bereich von Produktionsanlagen. "Normalerweise sollten diese Netzwerke voneinander getrennt sein", sagt Hickey, "aber de facto ist ein Zugriff über VPN möglich". VPN steht für Virtual Private Network, es ist eine sichere Form der Datenübertragung. Doch in diesem Fall würde eben der Wurm sicher übertragen - vom Büronetz in das Produktionsnetz. Dieses müsste heruntergefahren werden.