12.05.2017, 10:32 Uhr Gerade keine Zeit? Hinweis: Wir haben in diesem Artikel Provisions-Links verwendet und sie durch "*" gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält t3n.de eine Provision.

Es ist das Horrorszenario schlechthin: Krankenhäuser müssen wegen einer Cyber-Attacke schließen – auch die Deutsche Bahn hat es erwischt. Die einfache Registrierung einer Domain stoppte die Verbreitung schließlich.

Anzeige

Erpressungs-Trojaner befällt Deutsche Bahn, Krankenhäuser, Telefónica und Fedex

Eine weltweite Welle von Cyber-Attacken hat am Freitag Zehntausende Computer von Unternehmen, Behörden und Verbrauchern blockiert. In Großbritannien wurden Krankenhäuser lahmgelegt, in Deutschland traf es die Deutsche Bahn, in Frankreich Renault, in Spanien den Telekom-Konzern Telefónica und in den USA den Versanddienst Fedex. Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Von der #WannaCry #Ransomware betroffene Institutionen werden gebeten, sich beim @BSI_Presse zu melden: https://t.co/O6Q7ECu7ld. — Bundesministerium des Innern, für Bau und Heimat (@BMI_Bund) May 13, 2017

Das Bundesinnenministerium teilte auf Twitter mit, dass das Bundeskriminalamt die Ermittlungen zu dem Erpressungs-Trojaner übernommen habe. Computersysteme der Bundesregierung seien nicht betroffen. Von dem Cyberangriff betroffene Institutionen sollten sich an das Bundesamt für Sicherheit in der Informationstechnik (BSI) wenden.

Der weltweite Cyber-Angriff hatte nach Einschätzung der europäischen Ermittlungsbehörde Europol ein bisher „beispielloses Ausmaß“. Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

Renault stoppt Produktion in französischen Werken nach Cyber-Angriff

Der Autobauer Renault stoppte die Produktion in einigen Werken in Frankreich. Der Schritt sei „Teil von Schutzmaßnahmen, um eine Ausbreitung der Schadsoftware zu verhindern“, sagte ein Firmensprecher der Nachrichtenagentur AFP am Samstag. Nach Informationen aus Gewerkschaftskreisen sei das Werk in Sandouville in der Region Seine-Maritime mit rund 3.400 Mitarbeitern besonders betroffen, hieß es. Aus dem Werk kommen vor allem Nutzfahrzeuge wie der Renault Trafic.

Es sei eindeutig eine weltweite Attacke mit Meldungen über befallene Computer aus diversen europäischen Ländern, Russland und auch Asien, sagte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes der Deutschen Presse-Agentur. Der russische Antiviren-Spezialist Kaspersky Lab zählte mehr als 45.000 Angriffe in 74 Ländern, mit einem Schwerpunkt auf Russland. Screenshots auf Twitter zeigten, dass auch Anzeigetafeln der Deutschen Bahn betroffen waren. Der Zugverkehr war laut Mitteilung der Deutschen Bahn auf Twitter davon nicht beinträchtig. Eine t3n-Anfrage an die Bahn aus der Nacht zum Samstag blieb bis zum Samstagmorgen zunächst unbeantwortet.

#DB Trojaner: Zugverkehr nicht beeinträchtigt und stabil. Anzeigetafeln in Bahnhöfen betroffen. Wir arbeiten mit Hochdruck daran. — Deutsche Bahn AG (@DB_Presse) May 13, 2017

Domain-Registrierung stoppt Verbreitung von Wanna Cry

Laut einem Bericht des britischen Guardian wurde die Verbreitung des Angriffs in der Nacht zum Samstag durch die einfache Registrierung einer langen Domain gestoppt, die die Angreifer offenbar absichtlich als „Killswitch“ in die Schadsoftware eingebaut haben. Der Betreiber des Blogs Malware-Tech fand nach eigenen Angaben einen Domainnamen im Code der Schadsoftware und registrierte ihn. Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint dem Guardian am Samstag. Die Registrierung durch Malware-Tech dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte.

Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde. Der Sicherheitsforscher von Malware-Tech selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein „zufälliger Held“, erklärte auch Kalember von Proofpoint.

Whoops. Foto vom Kollegen bekommen - Chemnitz Hauptbahnhof hat wohl ein Cryptolocker Problem. pic.twitter.com/IH5B5dyKvM — Ｎｉｃｋ Ｌａｎｇｅ (@Nick_Lange_) May 12, 2017

Die weltweite Cyber-Attacke traf zuvor auch die Technik der Deutschen Bahn zur Videoüberwachung, teilte ein Sprecher des Bundesinnenministeriums am Samstag auf Anfrage in Berlin mit. Die Bahn stellt diese Technik für die Bundespolizei bereit. Die Computernetze der Bundespolizei selbst waren nach Angaben des Sprechers von den Angriffen aber nicht betroffen. Auch für die Bundesregierung und andere Bundesbehörden sei dies zum gegenwärtigen Zeitpunkt auszuschließen, hieß es. Laut Berliner Morgenpost fuhr die Bahn ihr internes Netzwerk am Freitagabend herunter und informierte die eigenen Mitarbeiter um 21 Uhr. Pro Rechner verlangen die Kriminellen dem Bericht zufolge umgerechnet 300 US-Dollar Lösegeld.

In Großbritannien waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA.

Screenshot of apparent ransomware attack message sent to NHS England trusts https://t.co/jODkWomGPA pic.twitter.com/uc2HlGH9yM — BBC Breaking News (@BBCBreaking) May 12, 2017

Die britische Patientenvereinigung (Patients Association) kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt. Verantwortlich für den Angriff seien Kriminelle, aber der NHS habe nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem zwei Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.

Aktuelle #Ransomware verbreitet sich selbstständig: Das BSI rät dringend dazu, den Microsoft-Patch vom 14. März (MS17-010) einzuspielen! — BSI (@BSI_Bund) May 12, 2017

Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den NHS gerichtet gewesen, sondern er sei bei einem internationalen Angriff in Mitleidenschaft gezogen worden.

Wanna Cry: Lösegeldforderung von Ransomware

In Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15 Uhr seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, hätten sie die Meldung bekommen, dass die Daten verschlüsselt seien und sie für die Freigabe bezahlen müssten.

Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Die PT-Homepage war am Abend nicht abrufbar. Man sei von Hackern attackiert worden, die Lösegeld gefordert hätten, bestätigte ein Firmensprecher. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen. Die Situation sei inzwischen wieder normal.

Fedex entschuldigte sich bei Kunden für Ausfälle durch den Angriff. Die spanische Telefónica bestätigte einen „Cybersicherheits-Vorfall“. Nach Medienberichten sahen am Freitag einige Mitarbeiter auf ihren Computern die für Erpressungstrojaner typische Lösegeldforderung. Die Währung der Wahl war – wie so oft in solchen Fällen – die Kryptowährung Bitcoin. Auf angeblichen Screenshots aus Großbritannien hieß es, sollte der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werden, würden alle Daten gelöscht.

Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. Klassische Antiviren-Software ist oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen.

Schadsoftware Wanna Cry auch als Wanna Decryptor bekannt

Die Waffe der Angreifer war Experten zufolge die Schadsoftware Wanna Cry, auch bekannt als Wanna Decryptor . Sie missbraucht eine einst von der NSA ausgenutzte Sicherheitslücke. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Schwachstelle eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht – und das rächte sich jetzt unter anderem im britischen Gesundheitssystem.

„Alle, die mit kritischen Infrastrukturen zu tun haben, sollten dringen prüfen, ob ihre Systeme auf dem aktuellen Stand sind“, betonte Husemann von Malwarebytes. Microsoft fügte am Freitag Erkennung und Schutz gegen die neue Variante der Erpressungssoftware hinzu.

Anzeige

Die NSA-Daten waren von einer Gruppe mit dem Namen „Shadow Brokers“ veröffentlicht worden. In westlichen IT-Sicherheitskreisen wurden dahinter Hacker mit Verbindungen zu russischen Geheimdienst vermutet. Nach Berichten im russischen Internet waren von der Attacke am Freitag auch Computer des Innenministeriums des Landes betroffen. sdr/dpa