Bei der Attacke am Freitag waren nach Erkenntnissen der IT-Sicherheitsfirma Avast rund 75.000 Computer in 99 Ländern lahmgelegt worden, mit einem Schwerpunkt auf Russland, die Ukraine und Taiwan. Die Rechner wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Der anonyme britische Experte hatte im Code der Schadsoftware eine von den Autoren eingebaute «Notbremse» gefunden, die er auch auslöste und damit die Ausbreitung des Erpressungstrojaners vorerst stoppte. In Deutschland übernahm das Bundeskriminalamt am Samstag die Ermittlungen. Tausende Unternehmen und Verbraucher stehen unterdessen vor der bangen Frage, ob sie in Kauf nehmen, dass ihre Daten in wenigen Tagen unwiederbringlich verloren gehen könnten – oder ob sie das geforderte Lösegeld bezahlen. Die Angreifer haben straffe Fristen gesetzt: Jetzt wollen sie 300 Dollar für die Entsperrung, ab dem 15. Mai das doppelte – und am 19. Mai werden alle Daten angeblich gelöscht. In einigen früheren Fällen war es gelungen, den Verschlüsselungsmechanismus der Angreifer auszuhebeln. Diesmal wird das aber allein schon durch das kurze Zeitfenster erschwert.
Neu an dem Angriff von Freitag war, dass der Erpressungstrojaner von alleine neue Computer ansteckte, ohne dass ein Nutzer etwa auf einen präparierten Link klickte. Dadurch konnte sie das Schadprogramm binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmaß. Das wurde erst möglich, weil das Programm laut Experten eine Sicherheitslücke ansteuerte, die ursprünglich der US-Abhördienst NSA für seine Überwachung nutzte. Vor einigen Monaten hatten Hacker sie aber öffentlich gemacht. Microsoft hatte zwar schon Anfang des Jahres ein Update veröffentlicht, das die Schwachstelle schloss – aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde. Nach der Attacke stellte der Konzern schnell auch ein Update für veraltete Windows XP bereit, das eigentlich nicht mehr gewartet wird. Die Attacke traf laut Experten viele XP-Rechner.
Am Freitag hatten die Folge der Attacke viel Aufsehen erregt. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA den Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken – um die Ausbreitung der Schadsoftware zu verhindern, wie es hieß. Die europäische Ermittlungsbehörde Europol sprach von einem «beispiellosen Ausmaß» der Attacke und regte ein internationales Vorgehen der Behörden an, um die Hintermänner zu finden. Bei der Deutschen Bahn fielen teilweise digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen in Deutschland aus. Auch die Technik zur Videoüberwachung war einem Sprecher des Bundesinnenministeriums zufolge betroffen. Die Bahn war zunächst das einzige Unternehmen in Deutschland, von dem bekannt wurde, dass es betroffen war. Nach Angaben des Konzerns war der bundesweite Zugverkehr allerdings nicht beeinträchtigt. Das Bundeskriminalamt nahm Ermittlungen auf. Netze der Bundesregierung seien nicht betroffen gewesen, teilte das Innenministerium mit.
Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Die Waffe der Angreifer war jetzt Experten zufolge die Schadsoftware «Wanna Decryptor», auch bekannt als «Wanna Cry». Der Angriff zog weltweit Kreise. Beim russischen Innenministerium fielen rund 1.000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet. Die Netze anderer russischer Behörden hätten dem Angriff aber standgehalten, hieß es. In Schweden waren 70 Computer der Gemeinde Timrå betroffen, in Portugal der Telekom-Konzern Portugal Telecom. (dpa)
