zum Hauptinhalt
"How Do I Pay?" Ein von "Wanna Cry" betroffener Computer eines britischen Krankenhauses.
© Uncredited/@fendifille/AP/dpa

Ransomware "Wanna Cry": Wie Hacker mit Cyber-Attacken Millionen erpressen

Die Schadsoftware "Wanna Cry" hat zehntausende Computer weltweit blockiert. Wieso traf es vor allem Unternehmen und öffentliche Institutionen - und wie kann man sich schützen? Fragen und Antworten.

Es ist einer der bislang größten Angriffe auf Computersysteme in aller Welt: Nach Angaben von IT-Sicherheitsfirmen wurden seit Freitag 75.000 Systeme in beinahe 100 Ländern durch einen Erpressungstrojaner zumindest zeitweise lahmgelegt. Betroffen waren unter anderem Krankenhäuser in Großbritannien, Energieversorger in Spanien sowie in Deutschland die Deutsche Bahn. Auch das Logistikunternehmen Schenker soll Opfer der Attacke geworden sein.

Die europäische Ermittlungsbehörde Europol spricht von einer Cyberattacke von bisher „beispiellosem Ausmaß“. Nun seien komplexe internationale Ermittlungen nötig. In Deutschland hat das Bundeskriminalamt die strafrechtlichen Ermittlungen übernommen. Bundesinnenminister Thomas de Maizière sieht in den Erpressungsversuchen „erhebliche Sicherheitsvorfälle“. Es sei zwar nicht die erste Attacke dieser Art, sie füge sich aber in die sehr angespannte Cyberbedrohungslage, vor der die Behörden immer wieder gewarnt hätten.

Wie viele Unternehmen oder öffentliche Einrichtungen in Deutschland betroffen sind, ist nicht bekannt. Die deutschen Regierungsnetze seien jedoch nicht betroffen, erklärte der Bundesinnenminister. Anders als bei früheren Cyberattacken gab es zudem diesmal keine Anzeichen, dass Einrichtungen fremder Staaten hinter dem Angriff stecken könnten. 

Um was für einen Trojaner handelt es sich?

Nach Angaben des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) wurden die Sicherheitsvorfälle durch ein Programm namens „Wanna Cry“ beziehungsweise „Wanna Decryptor“ ausgelöst. Dabei handelt es sich um einen so genannten Erpressungstrojaner, auch Ransomware genannt.

Der Trojaner verschlüsselt die auf dem Computer befindlichen Daten mit dem Ziel, den Besitzer zur Zahlung eines Lösegeldes zu erpressen. Dieser Schädling greift ausschließlich Windows-Computer an. Das Betriebssystem von Microsoft dominiert den Markt für Desktop- und Notebook-Computer weiterhin und ist damit ein besonderes attraktives Angriffsziel für solche Attacken. Die Zahlung erfolgt zumeist in der Cyber-Währung Bitcoin. Das Besondere an dem Erpressungstrojaner „Wanna Cry“ ist dem BSI zufolge, dass sich diese Ransomware ohne Zutun des Nutzers selber weiter verbreitet. Besonders schnell erfolgt die weitere Infektion offenbar über die Netzwerke von Firmen und Institutionen.

Wer ist betroffen?

In England und Schottland waren Dutzende Klinken und andere Gesundheitseinrichtungen sogar noch am Samstag lahmgelegt. Patienten wurden aufgerufen, nur in Notfällen in die Kliniken zu kommen. Viele Kranke wurden in andere Kliniken umgeleitet. Selbst Krebs- und Herzpatienten wurden nach Hause geschickt, wenn deren Daten durch „Wanna Cry“ verschlüsselt waren. Einige Einrichtungen – insgesamt waren in Großbritannien 45 betroffen – fuhren ihre IT-Systeme vorsichtshalber herunter. Der Autobauer Renault stellte am Samstag die Produktion an mehreren Standorten in Frankreich ein, um einer weiteren Verbreitung von "Wanna Cry" vorzubeugen.

In Deutschland traf es besonders die Kunden der Deutschen Bahn, deren Service- und Überwachungstechnik nur eingeschränkt arbeitete. An den Bahnhöfen fielen Ticketautomaten und Anzeigetafeln aus. Statt der üblichen Informationen war dort nur zu lesen: „Bitte Aushangfahrplan beachten“. Zudem wurden die Reisenden via Lautsprecher über die technischen Störungen informiert. Zu Beeinträchtigungen kam es aber offenbar auch im Reiseverkehr, da der Trojanerangriff auch die DB Netz AG betraf.

Private Computersysteme waren dagegen wohl kein Ziel des Angriffs. Die Einrichtungen der kritischen Infrastruktur – Energie, Verkehr, Telekommunikation, Gesundheitswesen – waren nur mittelbar betroffen. Beim Cyberwar, also der digitalen Kriegsführung, werden die Steuerungsanlagen dieser Einrichtungen direkt angegriffen, um beispielsweise das Stromnetz oder die Flugüberwachung außer Kraft zu setzen. 

Wie kann man sich schützen?

Die Sicherheitslücke, die von „Wanna Cry“ ausgenützt wird, ist seit einigen Monaten bekannt. Nach Angaben der IT-Sicherheitsfirma Malwarebytes ist die Schwachstelle Teil eines geleakten NSA-Hackingtools einer Gruppe namens „The Shadow Brokers“. Mit dem Schädling soll der US-Geheimdienst Fernzugang auf die angegriffenen Computer erhalten haben.

Microsoft hat im März ein Sicherheitsupdate gegen die Schwachstelle veröffentlicht (MS17010). Das BSI rät dazu, diesen Patch schnellstmöglich zu installieren, sofern dies nicht schon geschehen ist. Um einen möglichst vollständigen Überblick über die Lage zu bekommen, ruft das Bundesamt zudem alle betroffenen Firmen und Institutionen auf, Vorfälle dem BSI zu melden. „Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen“, sagte BSI-Präsident Arne Schönbohm am Samstag.

Warum war die Attacke vor allem bei Firmen und Institutionen erfolgreich?

Während bei den privaten Windows-Nutzern das automatische Einspielen kritischer Updates dazu führt, dass bekannte Sicherheitslücken schnell und flächendeckend gestopft werden, spielen Unternehmen und Institutionen solche Patches nicht direkt in ihre Systeme ein. Ein Grund dafür ist der Einsatz spezieller Branchensoftware oder anderer auf die jeweiligen Einrichtungen angepasster Software.

Vor dem Einspielen der Windows-Updates muss getestet werden, dass dadurch nicht die eigene Software gestört wird, zumal es sich dabei häufig um Programme handelt, die für den Betrieb des Unternehmens unverzichtbar sind. Selbst Unternehmen, die viel Wert auf die Sicherheit ihrer IT-Infrastruktur legen, sind somit für einen gewissen Zeitraum nicht vor Angriffen wie mit „Wanna Cry“ geschützt. Mitunter – wie im britischen Gesundheitswesen – führt jedoch auch der hohe Kostendruck zu einer Vernachlässigung der IT-Sicherheit.

Wie sicher ist der Notschalter, der die weitere Verbreitung offenbar gestoppt hat?

Dass sich der Trojaner „Wanna Cry“ am Samstag nicht weiter verbreitet hat, könnte einem IT-Sicherheitsexperten zu verdanken sein, der nach Angaben der Agentur AFP einen Notschalter gegen die Erpressungssoftware gefunden hat. Die Agentur verweist auf Aussagen des MalwareTechBlogs. Demnach hat sich der Trojaner auf eine nicht registrierte Internetdomain gestützt.

„Nachdem wir sie registriert haben, haben wir die Verbreitung gestoppt“, teilte der Blog via Twitter mit. Werde dieser Vorgang nicht rückgängig gemacht, „wird dieser eine Stamm keinen Schaden mehr anrichten“, schränkt der Blog die Reichweite der Aktion jedoch ein.

Zum Verständnis: Viele Trojaner und Computerviren arbeiten mehrstufig. Zuerst werden die angegriffenen Computer nur mit einem kleinen Programm infiltriert. Sobald dieses aktiviert wird, lädt es aus dem Internet von einer hinterlegten Adresse weiteren Code herunter, mit dem dann der eigentliche Angriff fortgesetzt wird. Durch Modifikationen des Angriffstrojaners lässt sich jedoch in einer künftigen Version wieder eine neue Internet-Domain hinterlegen. Wie groß der Schaden durch „Wanna Cry“ am Ende sein wird, lässt sich frühestens am Montag genauer sagen, da dann viele Computer, die am Wochenende ausgeschaltet waren, wieder in Betrieb genommen werden.

Wie groß ist das Geschäft mit Erpressungssoftware?

Mit Ransomware werden weltweit jährlich von kriminellen Hackern Hunderte Millionen Dollar beziehungsweise deren Gegenwert in Bitcoins verdient. Einer Umfrage der IT-Sicherheitsfirma Symantec zufolge zahlt jeder Dritte, dessen System von einem Trojaner verschlüsselt wird. Experten raten davor dringend davor ab, vor allem, weil auch die Zahlung des Lösegeldes keine Garantie bietet, dass die Festplatte wieder entschlüsselt wird.

Im Durchschnitt belaufen sich die Lösegeldzahlungen auf 1077 Dollar, dreieinhalb Mal so viel wie  noch vor zwei Jahren. Daran hat allerdings nicht zuletzt der drastisch gestiegene Wert der Bitcoin-Währung seinen Anteil. Einige Experten halten es sogar auch für möglich, dass der Zeitpunkt des Angriffes mit „Wanna Cry“ gerade jetzt wegen des hohen Bitcoin-Wertes gewählt wurde.

Europas fatale Abhängigkeit von Microsoft: Dass die öffentliche Verwaltung in vielen Staaten auf Windows setzt, ist politisch und technisch riskant. Lesen Sie hier eine Analyse des Recherche-Netzwerks Investigate Europe.

Zur Startseite