Handelsblatt

MenüZurück
Wird geladen.

19.05.2017

17:54 Uhr

Globale Cyber-Attacke

So viel verdienten die WannaCry-Erpresser

VonJakob Blume

200.000 betroffene Computer in 150 Ländern, Hunderte Millionen Dollar Schaden: Mit dem WannaCry-Virus wollten Hacker Lösegeld erpressen. Doch eine Auswertung zeigt: Ihr Verdienst ist ziemlich bescheiden.

Hacker wollten mit WannaCry Lösegeld erpressen. Doch ihr Verdienst ist bescheiden. AFP

Infizierter Rechner in Südkorea

Hacker wollten mit WannaCry Lösegeld erpressen. Doch ihr Verdienst ist bescheiden.

FrankfurtDie Erpresser gaben ihren Opfern 72 Stunden Zeit, um das Lösegeld zu zahlen: Über 200.000 Computer in 150 Ländern hatten unbekannte Hacker mit dem „WannaCry-Virus“ infiziert. Sie blockierten die Rechner und drohten, sämtliche Daten auf den infizierten Geräten zu löschen. Um das Unheil abzuwenden sollten Betroffene Geld in der Digital-Währung Bitcoin überweisen. Nun ist die Deadline für die Lösegeldzahlung in vielen Fällen abgelaufen. Doch eine Auswertung der Internetseite bitinfocharts zeigt: Gemessen an der Dimension der Cyberattacke sind die Einnahmen der Hacker sehr überschaubar.

Demnach sind der anonymen Hackergruppe drei sogenannte wallets – digitale Bitcoin-Geldbörsen – zuzurechnen. Darauf sind seit Beginn der Cyber-Attacke am 12. Mai Bitcoins im Wert knapp 93.000 Euro eingegangen. Im Bitcoin-Netzwerk werden alle Transaktionen veröffentlicht. Daher sind alle Finanzströme nachvollziehbar.

Cyber-Attacke: Was steckt hinter „Wanna Cry“?

Der Hintergrund

Die Erpressungs-Software „Wanna Cry“ hat sich in rasender Geschwindigkeit auf Hunderttausenden Rechnern weltweit eingenistet und dort die Daten verschlüsselt - bei Unternehmen ebenso wie in Krankenhäusern oder bei Privatnutzern. Nur zufällig glückte eine Notabschaltung.

Ist ein Ende der Attacke in Sicht?

Eine befürchtete zweite Angriffswelle mit dem Erpressungstrojaner „Wanna Cry“ ist am Montag nach Erkenntnissen des Innenministeriums ausgeblieben. Die Attacke hatte seit Freitag Windows-Rechner in mindestens 150 Ländern erfasst. Ausgestanden sei sie aber noch nicht, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik. Die „Pegelstände“ der „Flutwelle“ würden noch weiter steigen. Sicherheitsexperten warnen vor Nachahmern, die sich die Art des Angriffs mit leicht veränderten Wendungen zunutze machen könnten. So könnten Angreifer auf dem gleichen Weg versuchen, persönliche Daten zu stehlen oder aus der Ferne steuerbare Trojaner zu installieren, warnen etwa Sicherheitsforscher von IBM.

Was ist das Besondere an der „WannaCry“-Attacke?

Anders als bei früheren Cyber-Attacken hat der „Wanna Cry“-Angriff neben Zehntausenden Computern in Unternehmen und Privathaushalten auch Infrastrukturbetreiber wie die Deutsche Bahn, Zehntausende Tankstellen in China und mehrere Krankenhäuser in Großbritannien schwer getroffen. Der Angriff habe eine „definitiv andere Dimension“ als vergleichbare Attacken, sagte Uwe Kissmann, verantwortlich für das europäische Cybersecurity-Geschäft bei dem Beratungsunternehmen Accenture. „Das ist auch ein weiterer Weckruf.“ Die Gefahren in der IT-Sicherheit seien nicht mehr hypothetisch, sondern könnten einen ausgesprochen hohen wirtschaftlichen Schaden verursachen.

Gegen wen richtet sich die Attacke - ist sie komplett willkürlich?

Die Ziele der Angreifer sind bislang noch sehr unklar. In der Regel steht bei Erpressungsoftware (Ransomware) das finanzielle Interesse im Vordergrund. Auch mit „Wanna Cry“ wurden die Opfer aufgefordert, ein Lösegeld zu zahlen, um ihre verschlüsselten Daten wieder entschlüsseln zu lassen. Die weltweite Attacke soll den Angreifern aber gerade einmal rund 30 000 Euro in die Kassen gespült haben. Relativ stark seien Einrichtungen in Großbritannien, aber auch in Frankreich betroffen gewesen, sagte Cybersicherheits-Experte Kissmann. „Die Schweiz war bis dato weniger betroffen.“ Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) lag Deutschland unter den am stärksten betroffenen Ländern weltweit auf Platz 13. Man sei aber weiterhin dabei, die Attacke zu analysieren, auch was die Methoden der Weiterverbreitung betreffe, sagte Kissmann.

Wer steckt hinter der Attacke?

Über die Angreifer, die hinter der Malware stehen, ist bislang noch nichts bekannt. Sicherheitsexperten gehen davon aus, dass der Angriff keine besonders professionellen Fähigkeiten vorausgesetzt hat. Insofern könne es gut möglich sein, dass die Angreifer identifiziert werden, schätzt Kissmann. In Deutschland ermitelt das BKA.

Sind die Folgen der Attacke bei der Deutschen Bahn behoben?

Auch die Anzeigentafeln an den Bahnhöfen in Deutschland waren von dem Angriff betroffen. Bis sie wieder funktionieren, dürfte es noch mehrere Tage dauern. Die Fahrkarten-Automaten seien aber bis auf einige Ausnahmen wieder einsatzbereit, sagte ein Bahnsprecher am Montag. Von den 5400 deutschen Bahnhöfen sei nur „ein Bruchteil“ betroffen gewesen.

Welche Lehren können aus der Attacke gezogen werden?

Die Angreifer hatten auf den betroffenen Rechnern leichtes Spiel, da auf ihnen kein Patch für eine längst bekannte Sicherheitslücke aufgespielt war. Die Lücke im Betriebssystem Windows sei bereits im März von Microsoft geschlossen worden, sagte Tim Berghoff von G Data: „Staatliche Organisationen, Firmen und Privatanwender sollten sich sehr schnell Gedanken machen, wie sie die jeweiligen Sicherheitslücken schließen können.“ Brad Smith, Chefjustiziar von Microsoft, sieht vor allem die Regierungen in der Pflicht. Im aktuellen Fall hatte die US-Geheimdienstbehörde NSA die Windows-Schwachstelle für die eigene Arbeit zum Ausspähen gelagert. Von dort war sie dann entwendet und bei Wikileaks veröffentlicht worden. Cyberkriminelle hatten damit ungehinderten Zugriff und konnten sie für eigene Interessen nutzen.

Insgesamt zahlten offenbar nur etwas mehr als 200 Betroffene Geld an die Erpresser. Dabei hatte die Attacke durchaus gravierende Auswirkungen: Zu den Opfern gehörten unter anderem der französischen Autobauer Renault und die Deutschen Bahn. Allein bei der Bahn waren 450 Rechner betroffen. Tagelang fielen Anzeigetafeln und Ticket-Automaten aus. Der entstandene wirtschaftliche Schaden ist ungleich größer als die Lösegeld-Einnahmen: Die Schätzungen reichen von einigen Hundert Millionen Dollar bis zu vier Milliarden Dollar.

Jamie Akhtar, Co-Gründer der Londoner Cyber-Security-Firma CyberSmart, sagte dem Finanzportal Bloomberg, das eingesammelte Lösegeld hätte deutlich größer ausfallen können. Doch ein IT-Experte habe zügig ein Deaktivierungstool für den Virus veröffentlicht. „Hätte nur ein Prozent der Betroffenen gezahlt, wären 600.000 Dollar Lösegeld zusammen gekommen.“

Jens Weidmann: Bundesbank-Chef warnt vor Cyberattacken

Jens Weidmann

Bundesbank-Chef warnt vor Cyberattacken

Der Chef der Deutschen Bundesbank, Jens Weidmann, warnt vor wachsenden Risiken von Cyberattacken auf europäische Zentralbanken. Es sei nicht mehr die Frage, ob es zu einem Angriff kommt, sondern wann und wie oft.

Noch rätseln Ermittler, wer hinter der Attacke steckt. Medienberichten zufolge gibt es Spuren nach Nordkorea. Die verschlüsselten Bitcoin-Konten helfen den Behörden dabei nur bedingt weiter: Sie lauten auf einen 34-stelligen Hexadezimalcode. Wer die Konten besitzt, ist unklar. Doch wenn die Erpresser die Konten räumen, könnte sich ein Hinweis auf ihren Aufenthaltsort ergeben.

IT-Expert Tom Robinson glaubt deshalb nicht, dass die Erpresser in nächster Zeit auf ihr Bitcoin-Guthaben zugreifen werden. Denn die Konten stünden unter Beobachtung: „Für die 90 000 Dollar, die sie bisher eingenommen haben, ist das Risiko entdeckt zu werden einfach zu groß.“

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×