Digital

Der Lösegeldtrojaner «WannaCry» nutzt eine Schwachstelle, welche die NSA mutmasslich lange für sich nutzte. Unbekannte Hacker habe die Spähsoftware von der NSA erbeutet und publik gemacht. Nun können Kriminelle damit Firmen und Private erpressen, die veraltete Betriebssysteme nutzen. Bild: RITCHIE B. TONGO/EPA/KEYSTONE

14 Fakten, die du über den grössten Cyber-Angriff der Geschichte wissen musst

Der grösste Cyber-Angriff der Geschichte hat weltweit Zigtausende Computer lahmgelegt, auch die Bahn und Krankenhäuser waren betroffen. Antworten auf die wichtigsten Fragen.

14.05.17, 10:12 15.05.17, 04:37

Ein Artikel von

Eine weltweite Cyberattacke hat seit Freitag in Behörden, Unternehmen und bei Einzelpersonen erhebliche Schäden angerichtet. Zehntausende Computer wurden Opfer der erpresserischen Schadsoftware unter dem Namen «WannaCry», die sich stündlich millionenfach weiterverbreitete.

1. Wie lief der Angriff ab?

Der Chef-Experte der in Helsinki ansässigen Cyber-Sicherheitsfirma F-Secure, Mikko Hyppönen, sprach vom «grössten Ransomware-Ausbruch in der Geschichte». Rechner in mehr als hundert Ländern sind mit einem schädlichen Programm infiziert worden. Die weltweite Cyber-Attacke erreichte nach Einschätzung der europäischen Ermittlungsbehörde Europol «beispielloses Ausmass».

Die Kriminellen griffen im Betriebssystem Windows mit einer Erpressersoftware mit dem Namen «WannaCry» an, die Computerdaten verschlüsselt und nur gegen Geld wieder freigibt. Solche Programme werden Lösegeldtrojaner genannt. Gezahlt werden muss in der Digitalwährung Bitcoin. Häufig werden Beträge zwischen 300 und 600 Dollar verlangt, zumindest wenn es sich bei den Opfern um Privatleute handelt.

Die Kriminellen setzten auf eine Schwachstelle, die sich einst der US-Spähdienst NSA für seine Überwachung aufgehoben hatte. Vor einigen Monaten hatten unbekannte Hacker sie publik gemacht.

2. Warum erreichte die Attacke solch ein grosses Ausmass?

Üblicherweise muss erst der Nutzer eines Computers dem Trojaner die «Tür» in seinen Rechner öffnen, etwa wenn er einen präparierten Link in einer E-Mail anklickt oder eine bestimmte Website ansurft.

Bei der Attacke aber konnte sich der Erpresser-Virus nach einer initialen Infektion in einem Netzwerk von einem Computer zum anderen ausbreiten, ohne dass der Nutzer etwas machen musste. «Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu grossflächigen Systemausfällen führen», erklärte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).

3. Hat Microsoft die Sicherheitslücke nicht geschlossen?

Die Lücke wurde bereits im März von Microsoft geschlossen. Jetzt allerdings traf es Computer, auf denen das Update noch nicht aufgespielt worden war, zum Beispiel Rechner mit dem veralteten Betriebssystem Windows XP, für das es schon seit Jahren keine Aktualisierungen mehr gibt. Microsoft legte nun eilig sogar ein Update auch für XP auf. Die aktuelle Version «Windows 10» war übrigens nicht anfällig.

4. Hätte die NSA die Lücke Microsoft gemeldet, wäre dann nichts passiert?

Vermutlich wäre der Angriff nicht möglich gewesen, wenn Microsoft die Lücke früher hätte schliessen können. IT-Experten sehen sich bestätigt: Sie warnen seit Jahren davor, dass nicht gemeldete Sicherheitslücken eine grosse Gefahr für alle darstellen. Offenbar hat die NSA diese Schwachstelle nicht sofort an den Hersteller Microsoft gemeldet, nachdem sie Kenntnis von ihr erlangt hatte.

5. Warum wurden Computer nicht geschützt?

Manche Nutzer sind nachlässig, wenn es um die Installierung von Software-Updates geht. In Unternehmen gibt es zahlreiche Hindernisse, die es erschweren, kritische Lücken zeitnah zu stopfen. Gerade bei einfachen Systemen wie Anzeigetafeln neigen Unternehmen aus Kostengründen dazu, eher alte Rechner einzusetzen oder auf Sicherheitskonzepte ganz zu verzichten.

6. Wer ist betroffen?

Erstes Ziel war Europa und dann die USA. Das Programm wurde in Computer von Unternehmen, Behörden und Privatleuten eingeschleust. In Asien machte sich der Virus weniger bemerkbar. Die chinesische Nachrichtenagentur Xinhua meldete allerdings, in einigen Schulen und Universitäten seien Computer infiziert.

7. Warum blieb die Schweiz mehrheitlich verschont?

Die Schweiz ist von dem internationalen Cyber-Angriff nicht im grossen Stil betroffen gewesen. Bei der Melde- und Analysestelle Informationssicherung (MELANI) gingen keine Schadensmeldungen ein.

Seine Behörde habe am Freitag gegen 16 Uhr die Betreiber der kritischen Infrastruktur über die mögliche Gefahr eines erpresserischen Cyber-Angriffs informiert, sagte MELANI-Leiter Pascal Lamia. Zu den kontaktierten Stellen gehörten etwa Energieunternehmen, Banken oder Spitäler.

Bis Samstagmorgen seien keine Ausfälle gemeldet worden. Es sei aber möglich, dass einzelne Geräte betroffen seien. In Gefahr seien alle Geräte, wo keine Updates gemacht und Angriffs-Mails angeklickt wurden.

Dass die Schweiz von dem Angriff verschont wurde, könnte mit der fortgeschrittenen Sensibilisierung zusammenhängen, mutmasste Lamia. Es gebe Länder, wo weniger regelmässig über Gefahren informiert werde. Aber auch in der Schweiz könnte noch viel mehr getan werden.

8. Was sollten Betroffene machen?

Institutionen, die in der Schweiz mit dem Trojaner zu kämpfen haben, werden gebeten, sich bei der Melde- und Analysestelle Informationssicherung MELANI des Bundes zu melden. Microsoft veröffentlichte ein Update, mit dem die Lücke geschlossen werden kann. Experten warnten jedoch, dass die Angreifer jederzeit mit einer modifizierten Version ihrer Software einen erneuten Angriff tätigen könnten. Der Bund riet dringend zum Aufspielen des Sicherheits-Updates.

Im Idealfall hat man auch als Privatnutzer ein frisches Back-up, mit dem man den Computer wiederherstellen kann. Experten raten grundsätzlich davon ab, den Kriminellen Lösegeld zu zahlen, um deren Geschäft nicht zu befeuern. Eher selten gelingt es sogar, die Verschlüsselung der Angreifer zu knacken.

9. Was waren die schlimmsten Folgen der Attacke?

In Grossbritannien mussten wegen der Störung der IT-Systeme im Gesundheitssystem Rettungswagen in andere Kliniken umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt. Mindestens 21 Krankenhäuser berichteten von grösseren Störungen. Die Einrichtungen seien aber nicht gezielt ins Visier genommen worden, sagte Premierministerin Theresa May.

Im Internet kursierten Aufnahmen von Computerbildschirmen der Krankenhäuser mit der Botschaft «Ups, deine Daten wurden verschlüsselt». Es folgte eine fristgebundene Lösegeldforderung in Höhe von 300 Dollar (275 Euro), zahlbar in der Internet-Währung Bitcoin.

Der Autobauer Renault hat nach der weltweiten Welle von Cyber-Angriffen die Produktion in einigen Werken in Frankreich gestoppt. Der Schritt sei «Teil von Schutzmassnahmen, um eine Ausbreitung der Schadsoftware zu verhindern», sagte ein Firmensprecher.

Die russische Zentralbank meldete eine Attacke auf das Bankensystem des Landes. Auch mehrere Ministerien waren betroffen, ebenso gab es Attacken auf die russische Bahn. Auch der US-Logistikkonzern FedEx war betroffen, weitere Fälle wurden aus Australien, Spanien, Belgien, Italien sowie Mexiko und Slowenien gemeldet.

10. Welche Folgen gibt es für die Deutsche Bahn?

In Deutschland wurden Computer der Deutschen Bahn und des Logistikkonzerns Schenker erfasst. «Sicherheitsrelevante Systeme waren nicht betroffen», sagte Bahnchef Richard Lutz der «Bild am Sonntag». Die Sicherheit des Bahnverkehrs sei «zu jedem Zeitpunkt gewährleistet» gewesen.

An den Bahnhöfen seien Schalter geöffnet – auch der Zugverkehr rolle wie gewohnt. Nach Angaben eines Bahn-Sprechers seien digitale Anzeigetafeln sowie Ticketautomaten ausgefallen. Auch die Technik zur Videoüberwachung ist einem Sprecher des Bundesinnenministeriums zufolge betroffen.

Es kursieren Bilder von Anzeigetafeln der Bahn an Bahnsteigen, auf denen in deutscher Sprache Lösegeld gefordert wird. Über Lautsprecher informierte die Bahn die Reisenden über eine «technische Störung». Auch Ticketautomaten funktionierten an mehreren Bahnhöfen nicht. Die Internetseite bahn.de sowie die «Navigator-App» für Smartphones läuft laut dem Sprecher aber ohne Einschränkung.

11. Ist die Attacke vorbei?

Die Attacke wurde in der Nacht zum Samstag anscheinend gestoppt, weil ein IT-Sicherheitsforscher im Software-Code offenbar zufällig auf eine Art «Notbremse» gestossen war.

Der Betreiber von «MalwareTech» schrieb auf Twitter, er sei auf eine unregistrierte Internet-Adresse gestossen, über die das schädliche Programm verbreitet worden sei. Er habe die entsprechende Domain registriert, also ordnungsgemäss namentlich angemeldet. Dadurch wäre ein Schalter («Kill Switch») aktiviert worden, der die Verbreitung der Schadsoftware stoppte.

Der Forscher erhielt viel Lob auf Twitter, nachdem die Zahl der neu infizierten Computer nach seiner Massnahme stark zurückgegangen war. Mittlerweile gebe es wohl keine weiteren Infizierungen mit verseuchter Software.

Für eine endgültige Entwarnung sei es aber noch zu früh, sollten die Hacker den Schadcode ändern, könnte ein erneuter Angriff starten.

12. Wird gegen die Angreifer ermittelt?

Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

In Deutschland hat das Bundeskriminalamt BKA die Ermittlungen übernommen. Das teilte das Bundesinnenministerium am Samstag mit. Innenminister Thomas de Maizière betonte, der Angriff sei nicht der Erste seiner Art, aber besonders schwerwiegend.

13. Wie kann man sich in Zukunft schützen?

Betriebssystem und Software sollten immer auf dem neuesten Stand gehalten werden. Ausserdem sollte man die Warnungen von Experten beherzigen, nicht übereilt auf Links in E-Mails zu klicken, sondern Nachrichten zunächst auf Plausibilität zu prüfen. Und es ist ratsam, regelmässig ein Back-up zu machen, um die eigenen Daten in Kopie parat zu haben.

14. Wie reagieren Politiker?

Der deutsche Innenminister Thomas de Maizière forderte, bis Ende der Legislaturperiode die offenen Fragen beim IT-Sicherheitsgesetz zu klären. «Ich hoffe, dass spätestens jetzt alle Beteiligten zügig ihrer Verantwortung nachkommen und meinen längst auf dem Tisch liegenden Vorschlägen zustimmen.»

«Zudem sprechen die jetzigen Erkenntnisse dafür, dass wer unserem Rat folgt, regelmässige Software-Updates durchzuführen, eine gute Wahrscheinlichkeit hatte, dem Angriff zu entgehen», betonte das Innenministerium.

Konstantin von Notz, der netzpolitische Sprecher der Grünen im Bundestag, sagte am Samstag: «Solche Attacken auf Krankenhäuser und andere Infrastrukturen sind lebensgefährlich.» Sicherheitslücken würden auch von westlichen Geheimdiensten zur Informationsgewinnung bewusst offen gehalten und nun von Kriminellen und feindlich gesinnten Diensten ausgenutzt.

Die Finanzminister der sieben wichtigsten Industrieländer (G7) wiesen bei ihrem Treffen im italienischen Bari auf die wachsende Gefahr solcher Attacken hin. «Wir stellen fest, dass Cyber-Vorfälle eine wachsende Gefahr für unsere Volkswirtschaften darstellen und angemessene, umfassende politische Antworten darauf für die gesamte Wirtschaft erforderlich sind», heisst es in einem Entwurf für die Abschlusserklärung des Treffens.

boj/dpa/AFP/Reuters

Hol dir die App!

User-Review:
DendoRex, 19.12.2016
Watson ist für mich das Nr. 1 Newsportal und wird es auch bleiben. So weitermachen!
Abonniere unseren NewsletterNewsletter-Abo
22Alle Kommentare anzeigen
22
Um mit zudiskutieren oder Bilder und Youtube-Videos zu posten, musst du eingeloggt sein.
Youtube-Videos und Links einfach ins Textfeld kopieren.
600
  • m. benedetti 16.05.2017 12:14
    Highlight Natürlich ist niemand wirklich gefeit gegen einen üblen Angriff. Privat hatte ich noch nie einen Windows-Rechner und noch nie ein Problem. Meine Rechner sind auf automatische Updates eingestellt und die E-Mails landen auf Swisscom Servern, wo ich sie via Browser abrufen kann. Ach ja, ein Android Smartphone, das nicht von Google ist, kommt mir auch nicht in die Tüte.
    0 0 Melden
    600
  • Leider Geil 14.05.2017 14:44
    Highlight Zu Punkt 11 gib es auch noch Probleme mit Schlangenöl, das müsste erwähnt werden: http://blog.fefe.de/?ts=a7e81647 und https://m.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-die-Ransomware-Attacke-wissen-3713502.html
    6 6 Melden
    600
  • p4trick 14.05.2017 14:09
    Highlight Ich sage nur 3 Wörter Backup Backup Backup :-)
    24 2 Melden
    • Leider Geil 14.05.2017 14:40
      Highlight Und ich sage nur: patchen patchen patchen 😂
      22 2 Melden
    • blobb 14.05.2017 14:59
      Highlight Ich sag auch nur 3 Wörter; Update, Update, Upgrade
      23 1 Melden
    • Firefly 14.05.2017 21:46
      Highlight Linux Linux Linux
      19 9 Melden
    600
  • gnp286 14.05.2017 13:55
    Highlight Also indem die NSA ein bisschen rumlümmelt nehmen die den Tod von Menschen (in den Krankenhäusern) in Kauf. Seeehr gute Strategie... So viele Terroranschläge können die wohl nicht verhindert haben mit der Lücke.
    30 9 Melden
    600
  • Super 14.05.2017 13:28
    Highlight Wäre es in diesem Fall nicht möglich die NSA um Schadenersatz zu verklagen?
    Das Ganze ist eindeutig auf deren Mist gewachsen...
    26 8 Melden
    • Me, my shelf and I 14.05.2017 15:14
      Highlight Nein das ganze ist auf dem Mist derer gewachsen, die den Krankenhäusern nicht die nötigen Mittel zu verfügung stellen, eine Vernünftige IT Abteilung zu errichten.
      48 4 Melden
    • der Denker 14.05.2017 18:35
      Highlight Ich bin weissgott kein Fan der NSA. Aber deren Schuld ist dies nicht, klar ihretwegen ist die Schwachstelle bekannt geworden. Aber den Angriff haben Hacker ausgeführt und nicht die NSA.
      14 11 Melden
    • achtbit 15.05.2017 08:53
      Highlight Die NSA ist schuld weil Sie die Lücke nicht Microsoft bekannt gegeben haben. Microsoft ist schuld weil Sie eine doofe Patch Politik haben. Un die Verwaltungsräten in den Spitälern sind schuld weil Sie Ihre IT nicht fördern.

      Solch ein Angriff kann passieren weil ebene viele Beteiligte es verbockt haben.
      7 0 Melden
    • Abnaxos 15.05.2017 09:23
      Highlight @Denker

      Der NSA ist die Lücke seit Jahren bekannt. Sie haben sie aber geheim gehalten, um die Lücke für ihre eigene Schadsoftware (AKA Staatstrojaner) nutzen zu können. Die NSA hat also in kauf genommen, dass die Lücke offen bleibt und Andere sie für ihre Zwecke nutzen.

      Aufgabe der NSA wäre es gewesen, diese Lücke zu melden, damit sie geschlossen wird. Nur lag das nicht im Interesse der NSA, weil sie die Lücke ja für ihre eigenen Tools brauchten. Deshalb darf es keine Staatstrojaner geben – sie führen dazu, dass Geheimdienste/Polizei die Sicherheit aller gefährden.
      10 0 Melden
    600
  • Ursus ZH 14.05.2017 12:25
    Highlight Bisher weiss man ja überhaupt noch nicht, ob die Erpresser die Daten wirklich wieder entschlüsseln, wenn man bezahlt. Glaube kaum! Oder hat da jemand eine andere Erfahrung?
    Also meiner Meinung nach nützt das Bezahlen gar nichts.
    12 2 Melden
    • img.src="/imbdb/..." 14.05.2017 14:46
      Highlight Bei einigen früheren Fälle mit Ransom-ware, wurde nach Bezahlung tatsächlich der persönliche Schlüssel herausgegeben.

      Ein privates Spital in Los Angeles hat zum Beispiel Anfangs 2016 satte 17'000 Dollar gezahlt und bekam einen Schlüssel.

      Bei einem Spital in Kansas, Mitte 2016 lief es dagegen schief, da die Erpresser nach der ersten Zahlung, noch mehr Geld verlangt haben.

      Bei manchen, haben Spezialisten nach einer gewissen Zeit auch einen "Generalschlüssel" gefunden mit dem die Daten dann wieder entschlüsselt werden konnten.

      Am Ende muss man sagen, man kann es nicht im Voraus wissen.
      17 0 Melden
    • _kokolorix 15.05.2017 07:27
      Highlight Was man aber im Voraus wissen kann ist, wenn bezahlt wird, werden sich viele diesem Geschäftsfeld zuwenden, das läuft dann wie bei der Schutzgeld-Mafia. Es werden Forderungen gestellt und wer nicht bezahlt wird bestraft um die anderen einzuschüchtern. Ist das ein paar Daten und Dollars Wert? Ich meine Nein. Hat sich sowas erst mal etabliert, kämpft man jahrzehntelang dagegen.
      Negative Beispiele gibt es in Süditalien, den USA, Mexiko, auf dem Balkan, Russland etc.
      Die wahre Seuche ist nicht der Virus, sondern die kriminelle Organisation dahinter.
      4 0 Melden
    600
  • Holla die Waldfee 14.05.2017 10:55
    Highlight Leute, die wissentlich Störungen in Krankenhäusern in Kauf nehmen oder diese sogar gezielt angreifen, um sich auf betrügerische Art zu bereichern, gehören nicht nur wegen Cybercrime und Betrug bestraft. Hier muss eine Anklage wegen versuchten Mordes, fahrlässiger Tötung oder was immer die richtige juristische Formulierung ist, erfolgen.
    95 5 Melden
    • Zappenduster 14.05.2017 12:01
      Highlight Und die IT Verantwortlichen dieser Krankenhäuser gehören auch gleich weggesperrt! sorry was hat ein nicht mehr unterstütztes OS in Krankenhäuser verloren?
      IT darf halt nichts kosten....
      71 14 Melden
    • Max Havelaar 14.05.2017 12:15
      Highlight Sehe ich auch so. Sowas ist schwerstktiminell!
      15 2 Melden
    • Max Havelaar 14.05.2017 12:21
      Highlight @Zappenduster: Es gibt immer Lücken, die ausgenutzt werden können. Aber bei einem Spital gehen die Angreifer eindeutig zu weit. Würden wir das Ganze auf einen realen Überraschungskrieg reduzieren, sagst du dem attackierten Land ja auch nicht: "Ihr gehört gleich bestraft, weil ihr euch zuwenig verteidigen konntet".
      24 4 Melden
    • chrisdea 14.05.2017 12:24
      Highlight Jein - das Problem ist nicht, dass die Spitäler das OS nicht aktualisieren 'wollen', sondern dass viele verwendete Programme (z.B. Patientenkarteien) nur auf einem bestimmten OS laufen, und es zu aufwendig wäre diese auch zu ersetzen und alle MA darin zu schulen... Daher bleibt man halt beim alten System, weil "funktioniert ja...".
      27 6 Melden
    • Zappenduster 14.05.2017 17:06
      Highlight ....es kostet zu viel!?
      Und es funktioniert eben nicht, man merkt es halt erst mit einem Totalausfall.
      Sorry das ist einfach grob fahrlässig.
      15 3 Melden
    • dmark 15.05.2017 11:06
      Highlight Warum laufen solche System nicht autark im eigenen Netz, sondern hängen am Internet?
      7 0 Melden
    600

13 Dinge, die jeder Mac- und Windows-Nutzer über Microsofts neuen Laptop-Killer wissen muss

Das Surface Book ist Microsofts erstes Notebook. Das Display lässt sich per Knopfdruck ablösen und als Tablet nutzen – und es hat ein paar weitere nützliche Tricks auf Lager. Was es im Alltag taugt, zeigt unser Test.

Letzten Herbst hat Microsoft alle überrascht und wie aus dem Nichts das Surface Book enthüllt – ein Premium-Notebook, das mit seinem abnehmbaren Display zum Tablet wird. Ich habe es die letzten 10 Wochen als MacBook-Ersatz genutzt und privat, beruflich und auf Reisen ausgiebig testen können. Kommen wir also ohne weitere Umschweife zu den praktischen Befunden meines Erfahrungsberichts.

Kein Zweifel, das Surface Book ist ein Luxus-Laptop. Unverwechselbares Design und hochwertige Verarbeitung …

Artikel lesen