Von Lea Kramer und Hakan Tanriverdi

Ein massiver Cyberangriff hat mehr als 57 000 Computersysteme weltweit lahmgelegt. Die Betroffenen befanden sich vor allem in Europa und in Asien. Unter anderem das britische Gesundheitssystem wurde getroffen.

Bei dem Angriff wurde Experten zufolge Ransomware eingesetzt. So wird Erpresser-Software genannt, die sich auf den Rechnern installiert, Dateien verschlüsselt und dann alle weiteren Aktionen blockiert. Erst, wenn die Nutzer Geld zahlen, meist in der digitalen Währung Bitcoin, werden die Systeme wieder freigeschaltet. Allerdings nicht immer, Behörden warnen davor, Geld zu überweisen.

Jakub Kroustek von der IT-Sicherheitsfirma Avast teilte mit, dass sich die Schadsoftware "aggressiv" verbreite und der Schwerpunkt der Angriffe derzeit in den Ländern Russland, Ukraine und Taiwan liege.

Als erstes berichtete der nationale britische Gesundheitsdienstes National Health Service (NHS) von einem Angriff auf Krankenhäuser in ganz Großbritannien. Insgesamt waren 16 Organisationen betroffen, unter anderem in London, Blackpool, Hertfordshire und Derbyshire. Angestellte hatten keinen Zugriff mehr auf ihre Computer, zahlreiche OP-Termine mussten verschoben werden. Der NHS habe seine IT nach Bekanntwerden der Attacke abgeschaltet, deshalb hätten zeitweise auch keine Telefonanrufe angenommen werden können.

Offenbar handelte es sich bei der Ransomware um "WanaCrypt0r 2.0", die Firmen wie Avast seit Februar dieses Jahres analysieren. "Sie haben drei Tage Zeit, um die Bezahlung abzuschließen. Nach Ablauf der Frist wird sich der Preis verdoppeln. Und: Sollten Sie nicht innerhalb der kommenden sieben Tage zahlen, werden Sie ihre Daten nicht retten können", zitiert Motherboard die Mitteilung von den Bildschirmen infizierter Computer.

Die SZ-Redaktion hat diesen Artikel mit einem Inhalt von Twitter angereichert Um Ihre Daten zu schützen, wurde er nicht ohne Ihre Zustimmung geladen. Inhalt jetzt laden Ich bin damit einverstanden, dass mir Inhalte von Twitter angezeigt werden. Damit werden personenbezogene Daten an den Betreiber des Portals zur Nutzungsanalyse übermittelt. Mehr Informationen und eine Widerrufsmöglichkeit finden Sie unter sz.de/datenschutz. Dieser externe Inhalt wurde automatisch geladen, weil Sie dem zugestimmt haben. Zustimmung widerrufen und Seite neu laden

Anscheinend haben die Hacker eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt und ausgenutzt worden war. Dokumente der NSA über die Lücke wurden ihr entwendet - noch ist unklar, wie genau - und von einer mysteriösen Hackergruppe mit dem Namen "Shadowbrokers" ins Netz gestellt. Der IT-Sicherheitsforscher Maarten van Dantzig teilte SZ.de via Twitter mit, dass er bei der Analyse der Ransomware Teile eben dieses Codes gefunden habe, "Eternalblue" genannt.

Blackout in 74 Ländern

Die spanische Regierung teilte mit, dass mehrere Unternehmen das Ziel von Ransomware-Angriffen geworden seien. Dem Innenministerium zufolge wurden vor allem Windows-Betriebssysteme angegriffen. Dateien seien blockiert und Lösegeld gefordert worden. Die Attacke hatte demnach keine Auswirkungen auf die Dienste der Firmen oder die Daten ihrer Kunden.

Innerhalb weniger Stunden seien infizierte Rechner in zwölf Ländern aufgetaucht, darunter auch in Deutschland, schreibt das Team von MalwareHunter auf Twitter. Wenig später berichtete die Sicherheitsfirma Kaspersky Lab von 74 angegriffenen Ländern.

Bei einer der attackierten Firmen handelt es sich um das Telekommunikationsunternehmen Telefónica. Das Unternehmen bestätigte einen Angriff auf die IT-Systeme der Mitarbeiter am Freitag, gab aber keine weiteren Details zu dem Vorfall bekannt. Ein Pressesprecher teilte mit, dass der Vorfall sich vor allem auf Spanien beziehe. Die Welle "wirkte sich bei uns in Deutschland nur auf wenige interne Anwendungen aus. Kunden und Netz sind nicht betroffen."

Nach eigenen Angaben sollen etwa 1000 Computer des russischen Innenministeriums getroffen worden sein. Experten arbeiteten nun daran, das System wiederherzustellen und notwendige Sicherheitsupdates vorzunehmen, sagte eine Behördensprecherin. Russische Medien berichteten, das Ermittlungskomitee, die höchste Behörde Russlands für strafrechtliche Untersuchungen, sei ebenfalls ins Ziel des Angriffs gewesen. Das Komitee bestritt diese Berichte. Der russische Mobilfunkanbieter Megafon erklärte, auch bei ihm habe es einen Cyberangriff gegeben.

Im vergangenen Jahr hatte ein Erpresser die größte Klinik in Neuss mit Ransomware zum Stillstand gebracht. Vermutlich über E-Mail wurde dort ein Trojaner in das System eingeschleust. Damals entstand ein Schaden von 750 000 Euro.