AZ-Plus

BKA übernimmt Ermittlungen nach weltweiter Cyber-Attacke

Meist werden Verbraucher von Erpressungstrojanern erwischt, die Computer verschlüsseln und Lösegeld verlangen. Am Freitag traf es aber auch die Bahn, Krankenhäuser in Großbritannien und Russlands Innenministerium. Jetzt ermittelt das BKA.
von  dpa/az
Die weltweite Welle von Cyber-Attacken hat auch die Deutsche Bahn getroffen.
Die weltweite Welle von Cyber-Attacken hat auch die Deutsche Bahn getroffen. © Jan Woitas/dpa-Zentralbild/dpa

Berlin - Nach den Cyber-Attacken unter anderem auf die Deutsche Bahn hat das Bundeskriminalamt BKA die Ermittlungen übernommen. Das teilte das Bundesinnenministerium mit. Innenminister Thomas de Maizière betonte, der Angriff sei nicht der erste seiner Art, aber besonders schwerwiegend.

Regierungsnetze seien aber nicht betroffen. "Ihr hochprofessioneller Schutz durch das BSI (Bundesamt für Sicherheit der Informationstechnik) zahlt sich aus", sagte der Minister.

"Zudem sprechen die jetzigen Erkenntnisse dafür, dass wer unserem Rat folgt, regelmäßige Software-Updates durchzuführen, eine gute Wahrscheinlichkeit hatte, dem Angriff zu entgehen", betonte das Innenministerium.

De Maizière forderte, nun bis Ende der Legislaturperiode die offenen Fragen beim IT-Sicherheitsgesetz zu klären. "Ich hoffe, dass spätestens jetzt alle Beteiligten zügig ihrer Verantwortung nachkommen und meinen längst auf dem Tisch liegenden Vorschlägen zustimmen."

Attacke trifft auch Bahn-Technik zur Videoüberwachung

Die weltweite Cyber-Attacke hatte am Freitag Zehntausende Computer von Unternehmen, Behörden und Verbrauchern lahmgelegt. Bei der Deutschen Bahn seien teilweise digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen ausgefallen, teilte ein Sprecher in Berlin mit. Auch die Bahn-Technik zur Videoüberwachung ist einem Sprecher des Bundesinnenministeriums zufolge betroffen. Nach Angaben der Bahn ist der bundesweite Zugverkehr durch den Trojaner allerdings nicht beeinträchtigt. Reisende wurden aber gebeten, sich vor Fahrtantritt im Internet über Abfahrtszeiten und -gleise zu informieren.

Die IT-Sicherheitsfirma Avast entdeckte rund 75.000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan. In der heutigen Nacht wurde die Angriffswelle gestoppt, weil ein IT-Sicherheitsforscher auf eine Art "Notausschalter" in der Schadsoftware stieß.

Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Die Schwachstelle wurde zwar bereits im März grundsätzlich von Microsoft geschlossen - aber geschützt waren nur Computer, auf denen das Update installiert wurde.

Die Computer werden dann beispielsweise befallen, wenn ein Nutzer einen fingierten Link in einer E-Mail anklickt. In der aktuellen Version konnten infizierte Computer auch andere Rechner im Netzwerk anstecken.Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Eine derart verheerende Attacke wie am Freitag gab es noch nicht.

Die Angreifer scheinen im aktuellen eine Art Notbremse in ihr Programm eingebaut zu haben - und die Attacke wurde abgewürgt, nachdem ein IT-Forscher diesen Mechanismus auslöste.

Ihre Waffe heißt "Wanna Cry"

Die Waffe der Angreifer war Experten zufolge die Schadsoftware "Wanna Decryptor", auch bekannt als "Wanna Cry". Sie missbrauchte eine einst von der NSA ausgenutzte Sicherheitslücke. Geheimdienste suchen gezielt nach solchen Schwachstellen, um sie heimlich auszunutzen. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Lücke eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht - und das rächte sich jetzt.

"Alle, die mit kritischen Infrastrukturen zu tun haben, sollten dringend prüfen, ob ihre Systeme auf dem aktuellen Stand sind", betonte Husemann von Malwarebytes. Microsoft fügte am Freitag Erkennung und Schutz gegen die neue Variante der Software hinzu.

In Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15.00 Uhr seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, hätten sie die Meldung bekommen, dass die Daten verschlüsselt seien und sie für die Freigabe bezahlen müssten.

Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Die PT-Homepage war am Abend nicht abrufbar. Man sei von Hackern attackiert worden, die Lösegeld gefordert hätten, bestätigte ein Firmensprecher. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen.

FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff. Die spanische Telefónica bestätigte einen "Cybersicherheits-Vorfall". Nach Medienberichten sahen am Freitag einige Mitarbeiter auf ihren Computern die für Erpressungstrojaner typische Lösegeldforderung. Die Währung der Wahl war - wie so oft in solchen Fällen - das anonyme Online-Geld Bitcoin. Auf angeblichen Screenshots aus Großbritannien hieß es, sollte der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werden, würden alle Daten gelöscht.

Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet.

In Großbritannien sind Krankenhäuser lahmgelegt

In Großbritannien waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Zum Teil mussten Patienten in andere Krankenhäuser umgeleitet werden.

Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den NHS gerichtet gewesen. Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt. Verantwortlich für den Angriff seien Kriminelle, aber der NHS habe nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem zwei Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.

merken
Nicht mehr merken
X

Sie haben den Inhalt der Merkliste hinzugefügt.