Folgen

Nach der Cyber-Attacke: Ist "WannaCry" wirklich gestoppt?

Nach dem Hacker-Angriff, von dem weltweit tausende Unternehmen und Privatnutzer betroffen waren, bleiben viele offene Fragen. "WannaCry" hat die Gefahr digitaler Angriffe offengelegt. Nur langsam bekommen die Betroffenen die Folgen in den Griff. Doch ist der Trojaner gestoppt?
Von Rita Deutschbein mit Material von dpa

WannaCry-Software hat weltweit PCs verschlüsselt "WannaCry"-Software hat weltweit PCs verschlüsselt
Bild @ maxkabakov - Fotolia.com
Die Erpressungs-Software "WannaCry" hat sich in rasender Geschwindigkeit auf Hundert­tausenden Rechnern weltweit eingenistet und dort die Daten verschlüsselt - bei Unternehmen ebenso wie in Krankenhäusern oder bei Privatnutzern. Für die Freigabe der Daten verlangten die Angreifer ein Lösegeld. Die Angriffe starteten am Freitag - teltarif.de berichtete.

WannaCry-Software hat weltweit PCs verschlüsselt "WannaCry"-Software hat weltweit PCs verschlüsselt
Bild @ maxkabakov - Fotolia.com
Möglich machte den Cyber-Angriff eine Sicherheitslücke im Windows-System. Obwohl die Lücke bekannt war und das entsprechende Sicherheitspatch bereits seit Mitte März bereit stand, wurde das Sicherheitsupdate von vielen bislang nicht installiert. Das machte die Rechner angreifbar - der weltweite Cyber-Angriff hatte am vergangenen Freitag nach Angaben von Europol mindestens 150 Länder sowie 200 000 Organisationen und Personen getroffen.

Nur zufällig glückte eine Notabschaltung. Aber ist der Trojaner damit gestoppt? Entwarnung gibt es heute nur bedingt. Viele Fragen bleiben.

Ist ein Ende der Attacke in Sicht?

Eine befürchtete zweite Angriffswelle mit dem Erpressungstrojaner "WannaCry" ist heute nach Erkenntnissen des Innenministeriums ausgeblieben. Ausgestanden sei sie aber noch nicht, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Die "Pegelstände" der "Flutwelle" würden noch weiter steigen. Sicherheitsexperten warnen vor Nachahmern, die sich die Art des Angriffs mit leicht veränderten Wendungen zunutze machen könnten. So könnten Angreifer auf dem gleichen Weg versuchen, persönliche Daten zu stehlen oder aus der Ferne steuerbare Trojaner zu installieren, warnen etwa Sicherheitsforscher von IBM.

Was ist das Besondere an der "WannaCry"-Attacke?

Anders als bei früheren Cyber-Attacken hat der "WannaCry"-Angriff neben Zehntausenden Computern in Unternehmen und Privathaushalten auch Infrastrukturbetreiber wie die Deutsche Bahn, Zehntausende Tankstellen in China und mehrere Krankenhäuser in Großbritannien schwer getroffen. Der Angriff habe eine "definitiv andere Dimension" als vergleichbare Attacken, sagte Uwe Kissmann, verantwortlich für das europäische Cybersecurity-Geschäft bei dem Beratungsunternehmen Accenture. "Das ist auch ein weiterer Weckruf." Die Gefahren in der IT-Sicherheit seien nicht mehr hypothetisch, sondern könnten einen ausgesprochen hohen wirtschaftlichen Schaden verursachen.

Gegen wen richtet sich die Attacke - ist sie komplett willkürlich?

Die Ziele der Angreifer sind bislang noch sehr unklar. In der Regel steht bei Erpressungsoftware (Ransomware) das finanzielle Interesse im Vordergrund. Auch mit "WannaCry" wurden die Opfer aufgefordert, ein Lösegeld zu zahlen, um ihre verschlüsselten Daten wieder entschlüsseln zu lassen. Die weltweite Attacke soll den Angreifern aber gerade einmal rund 30 000 Euro in die Kassen gespült haben.

Relativ stark seien Einrichtungen in Großbritannien, aber auch in Frankreich betroffen gewesen, sagte Cybersicherheits-Experte Kissmann. "Die Schweiz war bis dato weniger betroffen." Nach Angaben des BSI lag Deutschland unter den am stärksten betroffenen Ländern weltweit auf Platz 13. Man sei aber weiterhin dabei, die Attacke zu analysieren, auch was die Methoden der Weiterverbreitung betreffe, so Kissmann.

Laut BSI-Präsident Schönbohm sei Deutschland "mit einem blauen Auge davon gekommen". Ihn überrascht, dass immer noch viele Nutzer bestimmte Updates oder Sicherheitsmechanismen nicht schnell genug installieren würden. Das sei fahrlässig. Teilweise hätten die vom Angriff betroffenen Unternehmen noch mit alten Windows-Versionen gearbeitet, für die es seit Längerem bereits keine Updates mehr gibt. Die mangelnde Vorsorge in Unternehmen liegt nach Einschätzung von Schönbohm daran, "dass ein Großteil der IT-Verantwortlichen nicht die Entscheider in einem Unternehmen sind."

Wer steckt hinter der Attacke?

Über die Angreifer, die hinter der Malware stehen, ist bislang noch nichts bekannt. Sicherheitsexperten gehen davon aus, dass der Angriff keine besonders professionellen Fähigkeiten vorausgesetzt hat. Auch ein politischer Hintergrund scheint nach den ersten Einschätzungen unwahrscheinlich. Insofern könne es gut möglich sein, dass die Angreifer identifiziert werden, schätzt Kissmann. In Deutschland ermittelt das BKA.

Sind die Folgen der Attacke bei der Deutschen Bahn behoben?

Aufgrund der durch den Angriff entstandenen Systemfehler zeigten die Anzeigentafeln an den Bahnhöfen in Deutschland in einigen Regionen Fehlermeldungen an. Bis sie wieder funktionieren, dürfte es noch mehrere Tage dauern. Die Techniker des Unternehmens waren auch heute im Dauereinsatz. Der Betrieb sei durch die Arbeiten nicht eingeschränkt, so die Deutsche Bahn. Bereits am Wochenende seien die Durchsagen verstärkt und zusätzliches Servicepersonal an den Bahnsteigen bereitgestellt worden.

Auch die Fahrkarten-Automaten seien bis auf einige Ausnahmen wieder einsatzbereit, sagte ein Bahnsprecher. Von den 5400 deutschen Bahnhöfen sei nur "ein Bruchteil" betroffen gewesen.

Welche Lehren können aus der Attacke gezogen werden?

Die Angreifer hatten auf den betroffenen Rechnern leichtes Spiel, da auf ihnen kein Patch für eine längst bekannte Sicherheitslücke aufgespielt war. Die Lücke im Betriebssystem Windows sei bereits im März von Microsoft geschlossen worden, sagte Tim Berghoff von G Data: "Staatliche Organisationen, Firmen und Privatanwender sollten sich sehr schnell Gedanken machen, wie sie die jeweiligen Sicherheitslücken schließen können."

Brad Smith, Chefjustiziar von Microsoft, sieht vor allem die Regierungen in der Pflicht. Im aktuellen Fall hatte die US-Geheimdienstbehörde NSA die Windows-Schwachstelle für die eigene Arbeit zum Ausspähen gelagert. Von dort war sie dann entwendet und bei Wikileaks veröffentlicht worden. Cyberkriminelle hatten damit ungehinderten Zugriff und konnten sie für eigene Interessen nutzen.

Auch im Editorial haben wir uns mit den Folgen und Ursachen von "WannaCry" beschäftigt.

Mehr zum Thema Hacker-Angriff