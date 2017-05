Cyberangriff Auch die Deutsche Bahn ist betroffen. Erst im vergangenen Februar kursierte weltweit die Ransom-Variante „Locky” und befiel auch deutsche Einrichtungen. Laut Experten können Angreifer einfach einfach neue Varianten der Ransomware erzeugen. (Foto: Screenshot)

DüsseldorfIn Großbritannien schließen etliche Krankenhäuser, in Russland können 1000 Mitarbeitern des Innenministeriums nicht arbeiten. In Deutschland sind Anzeigentafeln der Deutschen Bahn blockiert, und in Spanien haben Konzerne wie Telefónica und BBVA mit Ausfällen zu kämpfen: Ein Cyberangriff hat am Freitag zahlreiche Computer von Unternehmen, Behörden und Verbrauchern in aller Welt lahmgelegt. Nach Medienberichten haben zwei Sicherheitsforscher die Ausbreitung über eine Art Notschalter zunächst stoppen können.

Das genaue Ausmaß ist noch unklar – laut Europol sei es „beispiellos“. Der russische Antiviren-Spezialist Kaspersky Lab sprach beispielsweise von mehr als 45.000 Angriffen in 74 Ländern. Avast entdeckte sogar rund 75.000 betroffene Systeme in 99 Ländern. Der Schwerpunkt liege auf Russland, der Ukraine und Taiwan, erklärte das Unternehmen in einem Blogeintrag.

Die unbekannten Angreifer legten die Computer mit einem Programm namens „Wanna Cry“ lahm. Dabei handelt es sich um Ransomware, also Erpressungssoftware, die wichtige Dateien verschlüsselt und für die Freigabe 300 Dollar fordert, zu zahlen in der anonymen Digitalwährung Bitcoin. Das Programm drohte laut Bildschirmfotos, dass sich das Lösegeld nach wenigen Tagen erhöhe, wenn der Betroffene nicht zahle, und die Daten später sogar vollständig verloren seien. „Ransom” bedeutet auf Deutsch so viel wie „Lösegeld”.

Was ist Ransomware? Was sind Malware und Ransomware? Malware ist ein allgemeiner Begriff, der Software bezeichnet, die schädlich ist, wie John Villasenor, Professor an der Universität von Kalifornien, erklärt. Ransomware sei ein Typ von Malware, der in erster Linie Computer übernehme und deren Nutzer daran hindere, an Daten zu gelangen, bis ein Lösegeld dafür gezahlt werde, so Villasenor.

Wie wird der Computer mit Ransomware infiziert? In den meisten Fällen befällt die Ransomware den Computer durch Links oder Anhänge in schädlichen E-Mails, auch bekannt als sogenannte Phishing-Mails. Der beste Tipp sei hierbei, einfach nicht auf Links in E-Mails zu klicken, sagt Jerome Segura von der US-Softwarefirma Malwarebytes, die Softwares gegen die Ransomware anbietet. Ziel der Ransomware sei es, den Nutzer dazu zu bekommen, einen schädlichen Code zu aktivieren. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schadsoftware auf den Computer.

Was passiert bei Ransomware? Wie der Name der Ransomware - „ransom“ ist das englische Wort für Lösegeld - nahelegt, nimmt die schädliche Software Daten quasi als Geisel. „Sie findet alle Ihre Dateien, verschlüsselt diese und hinterlässt eine Nachricht“, sagt Peter Reiher, Professor an der Universität von Kalifornien. „Wenn Sie möchten, dass sie entschlüsselt werden, müssen Sie bezahlen.“ Die Ransomware benutzt für die Verschlüsselung einen Schlüssel, den nur der Angreifer kennt. Zahlt der Nutzer das Lösegeld nicht, sind die Dateien oft für immer verloren, weil sie nicht mehr entschlüsselt werden können. Hat die Ransomware einen Computer übernommen, sind die Angreifer mit ihren Forderungen meist sehr direkt, wie Segura sagt. In vielen Fällen ändern sie das Hintergurndbild des Bildschirms des PCs und geben sehr genaue Anweisungen, wie der Nutzer das Geld bezahlen kann. Viele der Hacker verlangen zwischen 300 und 500 Dollar, um die Dateien wieder zu entschlüsseln. Der Preis dafür kann sich auch verdoppeln, wenn nicht innerhalb von 24 Stunden bezahlt wird. Vertreter der Strafverfolgung raten jedoch, kein Lösegeld zu bezahlen.

Wie können solche Attacken verhindert werden? Der erste Schritt sei es, umsichtig zu sein, so Experten. Eine „perfekt Lösung“ für das Problem gäbe es jedoch nicht, sagt Villasenor. Nutzer sollten regelmäßig ihre Daten sichern und prüfen, dass Sicherheits-Updates installiert werden, sobald diese veröffentlicht werden. Die Attacke von Freitag nutzte eine Sicherheitslücke von Microsoft Windows, für die nach Angaben des Unternehmens bereits Updates bereitgestellt worden waren. Viele Nutzer hatten sie jedoch noch nicht installiert. Nutzer sollten zudem auf schadhafte E-Mails achten, die oft als E-Mails von Firmen oder Menschen getarnt sind, mit denen häufig E-Mail-Kontakt besteht. Es sei wichtig, nicht auf Links oder Anhänge zu klicken, da diese die Ransomware freisetzten, so Villasenor.

Bei der Verbreitung der Ransomware nutzen die Angreifer eine Sicherheitslücke in Betriebssystem Windows, die der US-Geheimdienst NSA lange kannte und heimlich für Abhöraktionen ausnutzte – eine Hackergruppe namens „Shadow Brokers“ machte diese allerdings vor einigen Monaten öffentlich, sodass auch kriminelle Hacker diese nutzen konnten. Der NSA-Whistleblower Edward Snowden warf dem Geheimdienst daher vor, mit seinen Aktivitäten das Leben von Menschen zu riskieren, etwa in den britischen Krankenhäusern.

Whoa: @NSAGov decision to build attack tools targeting US software now threatens the lives of hospital patients. https://t.co/HXRV9uYOuU — Edward Snowden (@Snowden) 12. Mai 2017

Allerdings können sich Unternehmen und Privatnutzer durchaus gegen den Angriff schützen. Microsoft hat die Sicherheitslücke bereits Mitte März mit einem Update geschlossen. Die Software verbreite sich eigenständig weiter und erziele dadurch eine „hohe Schadenswirkung“, warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) – eine Aktualisierung sei daher dringend angeraten.

Eine weitere Ausbreitung von „Wanna Cry“ konnte ein Sicherheitsforscher zumindest vorübergehend stoppen. Das Programm kontaktierte regelmäßig eine kryptische Web-Adresse, um zu prüfen, ob diese zu erreichen war. Der Betreiber des Blogs „Malware Tech“ registrierte sie aus Neugierde und stoppte so zufällig das Programm. Offenbar nutzten die Macher diesen Mechanismus als Notschalter. Er sei ein „Held durch Zufall“, sagte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung „Guardian“. Allerdings bedeutet das womöglich nicht mehr als eine Atempause: Die Angreifer können ihre Software vermutlich leicht modifizieren.