Regionalbahnen und Fernverkehrszüge in einem Bahnhof. Am Freitag ist die Deutsche Bahn auch Opfer der Attacke mit Erpresser-Software geworden.

Eine massive Cyber-Attacke sorgt weltweit für Ausfälle. Betroffen sind auch Anzeigetafeln der Deutschen Bahn. Das BKA ermittelt nun.

Berlin/London/Madrid. Und plötzlich geht am PC nichts mehr: Zugriffe gesperrt, Daten verschlüsselt, und obendrein eine Lösegeldforderung: Was am Freitagmittag zunächst aus England für Schlagzeilen sorgte, erfasste am Abend auch Rechner der Deutschen Bahn. Die Erpresser-Software Wannacry stört Systeme der Deutschen Bahn. Teile wurden deshalb heruntergefahren.

Das Bundeskriminalamt (BKA) hat inzwischen die Ermittlungen übernommen. Das teilte das Bundesinnenministerium am Samstag mit. Innenminister Thomas de Maizière betonte, der Angriff sei nicht der erste seiner Art, aber besonders schwerwiegend.

Regierungsnetze seien nicht betroffen. Die Attacke füge sich aber ein in eine „sehr angespannte Cyber-Bedrohungslage“, vor der die Behörden immer wieder gewarnt hätten. „Zudem sprechen die jetzigen Erkenntnisse dafür, dass wer unserem Rat folgt, regelmäßige Software-Updates durchzuführen, eine gute Wahrscheinlichkeit hatte, dem Angriff zu entgehen“, betonte das Innenministerium.

Bundesamt ruft zu Software-Update auf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) forderte die Deutschen zum Schließen der Sicherheitslücke ihrer PCs auf. Dazu habe der US-Softwarehersteller Microsoft bereits Mitte März ein Sicherheitsupdate für sein Betriebssystem Windows bereitgestellt, teilte das BSI am Samstag mit.

„Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist“ erklärte BSI-Präsident Arne Schönbohm. „Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen.“ Die aktuelle Schwachstelle sei schon seit Monaten bekannt.

Systemausfälle bei der Deutschen Bahn

Die Deutsche Bahn hatte erklärt, es gebe wegen „eines Trojanerangriffs im Bereich der DB Netz AG“ Systemausfälle in verschiedenen Bereichen. „Der Bahnbetrieb ist durch den Trojaner nicht beeinträchtigt. Es gibt keine Einschränkungen im Fern- und Nahverkehr“, hieß es am Samstagmorgen. An den Bahnhöfen gebe es aber noch technische Störungen an den digitalen Anzeigentafeln. Die Bahn arbeite mit Hochdruck daran, die Störung zu beheben, doch sei bis zum Nachmittag mit Beeinträchtigungen zu rechnen.

Nach Informationen unserer Redaktion gingen gegen 21 Uhr Informationen an die Bahn-Mitarbeiter heraus, dass die Betriebsinterne Kommunikationsumgebung (BKU) zeitnah herunter gefahren wird und Daten zügig vorher gespeichert oder aktuelle Daten auch ausgedruckt werden sollen. Über das von Karlsruhe aus gesteuerte BKU sind viele Arbeitsplätze und Rechner miteinander vernetzt, auch die Abfahrtstafeln können darüber angesteuert werden.

Über die BKU läuft auch die Disposition von Fahrzeugen und Personal, ein längerer Ausfall kann zu erheblichen Behinderungen führen. Sicherheitsrelevante Technik in Stellwerken soll aber in dieses Netz nicht eingebunden sein.

300 Dollar Lösegeld pro Rechner

Am Freitagabend verbreiteten sich in sozialen Netzwerken Fotos aus Zügen und Bahnhöfen in Deutschland, die Bildschirme mit der Erpresserbotschaft zeigen. 300 Dollar in der digitalen Währung Bitcoin sind zu zahlen, um wieder Zugriff auf die Rechner zu erhalten.

Auf der Strecken-Seite der DB Netz gab es Hinweise auf einen Trojanerangriff. Der Bahnverkehr im Norden war demnach von dem Ausfall der Leitsysteme in der Betriebszentrale Hannover beeinträchtigt. Auf der Strecken-Seite verschwanden dann auch für kurze Zeit alle Anzeigen , dann funktionierte sie jedoch wieder.

Ransomware legt die @db_bahn lahm. Der Screenshot ist zehn Minuten alt, jetzt zeigt https://t.co/DaaJ4wUf8I nichts mehr an. #bahn pic.twitter.com/uPkNjvxiBC — Lars Wienand (@LarsWienand) May 12, 2017

Am Samstagmorgen waren nach einem Bericht des RBB auch noch Anzeigetafeln am Berliner Hauptbahnhof betroffen – wie in ganz Deutschland.

Fotos von Displays befallener Rechner tauchten unter anderem aus einem Zug der S-Bahn Frankfurt auf, vom Frankfurter Hauptbahnhof und aus dem Bahnhof Dresden-Neustadt auf. Betroffen waren dort jeweils Abfahrtstafeln.

Just got to Frankfurt and took a picture of this... #Sbahn, you got a #Ransomware! pic.twitter.com/w0DODySL0p — Marco Aguilar (@Avas_Marco) 12. Mai 2017

Whoops. Foto vom Kollegen bekommen - Chemnitz Hauptbahnhof hat wohl ein Cryptolocker Problem. pic.twitter.com/IH5B5dyKvM — Nick Lange (@Nick_Lange_) 12. Mai 2017

...und der Bhf Neustadt so: pic.twitter.com/T4BfmaugYi — Moohten Moohtinowski (@Moohten) 12. Mai 2017

Technik zur Videoüberwachung auch betroffen

Die Cyber-Attacke hat auch die Technik der Deutschen Bahn zur Videoüberwachung getroffen. Dies teilte ein Sprecher des Bundesinnenministeriums am Samstag auf Anfrage in Berlin mit. Die Bahn stellt diese Technik für die Bundespolizei bereit. Die Computernetze der Bundespolizei selbst waren nach Angaben des Sprechers von den Angriffen aber nicht betroffen. Auch für die Bundesregierung und andere Bundesbehörden sei dies zum gegenwärtigen Zeitpunkt auszuschließen, hieß es.

Aus Spanien waren im Tagesverlauf bereits Fälle zahlreicher betroffener Firmen gemeldet worden, darunter PCs beim Kommunikationskonzern Telefonica. Das Problem droht aktuell weltweit Rechnern, auf denen eine Sicherheitslücke in Windows nicht geschlossen wurde. Die spanische Behörde für Computersicherheit hatte am Freitag dringend aufgerufen, die Software zu aktualisieren. Die Angriffe erfolgen mithilfe einer Software, die ursprünglich die NSA entwickelt hatte.

Virenschutzspezialist registriert weltweit Angriffe

Nach dem Bekanntwerden der ersten Fälle in England wunderten sich Nutzer zunächst über den niedrigen Betrag in den Forderungen. Aber der Angriff ist offenbar in großem Maßstab unterwegs. Die Erpresserbotschaft gibt es in mindestens sieben verschiedenen Sprachen.

Der Virenschutzanbieter Avast berichtet in seinem Blog, man habe am Freitag weltweit 57.000 Angriffe mit dem Schadprogramm WannaCry registriert. Besonders betroffen sei auch Russland. Der Trojaner, sogenannte Ransomware, sperrt Nutzer von ihrem Rechner aus.

Und das gelingt dem Programm offenbar, wenn auf Microsoft-Rechnern die Software nicht auf den neusten Stand gebracht worden ist. Über befallene Geräte im Netzwerk kann das Problem schnell auf weitere Geräte übergreifen und diese ebenfalls befallen, berichten Sicherheitsexperten auf Twitter.

Bundesamt hatte am 15. März gewarnt

„Mehrere Schwachstellen ermöglichen eine komplette Kompromittierung des Systems“, hatte das Bundesamt für Sicherheit in der Informationstechnologie am 15. März nach einer entsprechenden Microsoft-Information gewarnt. Das Problem: „kritisch“. Die Schwachstelle liegt beim Microsoft Server Message Block (SMB) 1.0 Server. SMB ist ein Netzwerkprotokoll für Datei-, Druck- und andere Serverdienste in Rechnernetzen. Microsoft zufolge sind alle Windows-Versionen betroffen. Das Unternehmen stellte ein Sicherheits-Update bereit, den Patch MS17-010. Am Freitag meldete sich das BSI erneut:

Aktuelle #Ransomware verbreitet sich selbstständig: Das BSI rät dringend dazu, den Microsoft-Patch vom 14. März (MS17-010) einzuspielen! — BSI (@BSI_Presse) 12. Mai 2017

„Patcht, Leute, patcht“, forderte auch das @Malwarehunterteam auf Twitter am Abend eindringlich zur Installation auf. Als Sofortmaßnahme kann auch SMBv1 deaktiviert werden.

Problem vor allem in Unternehmensnetzwerken

Auf privaten Rechnern installieren sich solche Updates von Microsoft in der Regel automatisch, in Unternehmen wird das dagegen meist nach Prüfung von der IT-Abteilung initiiert.

Am 14. April hatte Microsoft informiert, dass ein Programm „Eternal Blue“ dafür geschrieben worden war, um diese Sicherheitslücke auszunutzen. Der Hackergruppe ShadowBrokers zufolge stammt das Programm ursprünglich vom amerikanischen Geheimdienst NSA. Auch der IT-Sicherheitsexperte Kaspersky geht auf seinem Blog davon aus, dass für die Angriffe die NSA-Entwicklung genutzt wird. Geheimdienste kaufen von dubiosen Anbietern Sicherheitslücken, ohne diese bekannt zu machen. Im Gegenteil entwickeln sie auch Programme, um solche Löcher ausnutzen zu können. Im aktuellen Fall offenbar mit indirekten Folgen für Zehntausende Rechner, für Menschen in Krankenhäusern und für die Deutsche Bahn. (mit dpa und rtr)