Es ist vielleicht die sich am schnellsten verbreitende Erpressungs-Software aller Zeiten: An weniger als einem Tag hat ein neuer Trojaner sich auf mindestens 100.000 Rechnern über den ganzen Globus verbreitet, selbst große Firmen und sogar das russische Innenministerium sind betroffen. Wir erklären, was man zu dem Angriff wissen muss.
Was steckt hinter der Attacke?
Es ging rasend schnell: Innerhalb weniger Stunden meldeten Dutzende Firmen auf der ganzen Welt, dass ihre Rechner lahmgelegt waren. Unter den Opfern waren 16 britische Krankenhäuser, die ihre OPs stilllegen mussten, die Deutsche Bahn, deren Anzeigemonitore befallen wurden, die spanische O2-Mutter Teléfonica und sogar das russische Innenministerium. Wie viele private Rechner befallen wurden, ist noch gar nicht abzusehen.
Im Prinzip handelt es sich bei dem "Wannacry" (Willst du heulen) getauften Angriff um einen klassischen Erpressungs-Trojaner. Die befallenen Computer wurden verschlüsselt, die Angreifer verlangen 300 Dollar (etwa 270 Euro) in der Internetwährung Bitcoin als Lösegeld. Das Besondere ist die dramatische Verbreitungs-Geschwindigkeit: Innerhalb weniger Stunden registrierten die Anbieter von Antivirensoftware Kaspersky 45.000 Angriffe, Konkurrent Avast stellte gar 75.000 Attacken auf Nutzer seiner Schutzlösung fest. Die Opfer stammten aus knapp 100 Ländern - die allermeisten aus Russland.
Geheimdienst-Lücke als Einfalltor
Auf die Rechner gelangt Wannacry wohl über eine Windows-Lücke des Geheimdienstes NSA. Die erlaubt die Installation von Software per Fernzugriff und erklärt die schnelle Verbreitung: Wannacry kann andere Rechner direkt über das Netz infizieren und braucht keinen Umweg wie verseuchte E-Mails. Die genutzte Schwachstelle tauchte im April gemeinsam mit einer ganzen Reihe von Geheimdienst-Werkzeugen im Netz auf und wurde dann wohl zur Erpressungs-Waffe umgebaut.
Wer sind die Angreifer?
Trotz der Nutzung der NSA-Lücke deutet aktuell wenig darauf hin, dass hinter der Attacke mehr als ein klassischer Cyber-Überfall durch Kriminelle steckt. Es scheint vor allem ums Geld zu gehen. Hätten die Angreifer es tatsächlich auf die Daten der Opfer abgesehen, wären sie wohl weniger offensichtlich vorgegangen. Woher die Angreifer stammen, ist unklar. Die hohe Anzahl an russischen Opfern könnte ein Hinweis sein, muss aber nichts bedeuten. Das BKA ermittelt bereits, auch Polizei und Geheimdienste anderer betroffener Länder werden nach Spuren der Angreifer suchen.
Wie kann ich mich vor den Angriffen schützen?
Wer eine aktuelle Version von Windows benutzt, muss sich keine Sorgen über den Fernangriff machen: Microsoft hat die NSA-Schwachstelle bereits im März per Sicherheits-Update behoben. Wer Updates manuell einspielt, sollte das aber schleunigst nachholen. Besonders gefährdet sind Nutzer des uralten Windows XP: Microsoft unterstützt das System bereits seit drei Jahren nicht mehr, selbst Sicherheitslücken bleiben offen. Allgemeine Tipps für den Schutz vor Erpressungs-Trojanern finden Sie in diesem Artikel.
Muss man sich noch vor dem Angriff fürchten?
Aktuell scheint Wannacry sich nicht weiterzuverbreiten. Ein Sicherheits-Experte aus Großbritannien hat durch Zufall eine Art Selbstzerstörungs-Mechanismus der Software ausgelöst, indem er für nur 9,77 Euro eine bestimmte Webseite registrierte. Allerdings geht er davon aus, dass die Angreifer demnächst eine überarbeitete Version auf das Netz loslassen. Die Windows-Updates sollten also unbedingt trotzdem eingespielt werden.
Warum waren so viele Unternehmen betroffen?
Dass so viele Firmen dem Trojaner zum Opfer fallen, dürfte einen einfachen Grund haben: Sie hinken bei den Updates hinterher. Weil ein kleiner Fehler in einem neuen Update in Unternehmen dramatische Folgen haben kann, warten sie oft selbst mit wichtigen Updates. Auch die Kosten spielen eine Rolle. Bei den Tausenden digitalen Anzeigetafeln der Bahn würde es Unsummen kosten, sie auf den neuesten Stand zu bringen - während es dem Unternehmen kaum Vorteile verspricht. Kein Wunder also, dass auf vielen der Rechner weiter Windows XP läuft. In einem Spezial-Angebot für Unternehmen bietet Microsoft gegen Gebühr sogar noch Sicherheitsupdates für das Uralt-System. Das Update für die NSA-Lücke hat der Konzern jetzt erst wegen der Wannacry-Attacke nachgeschoben. Es kommt für manche Unternehmen wohl etwas zu spät.
