Handelsblatt

MenüZurück
Wird geladen.

14.05.2017

17:07 Uhr

Ransomware

Weltweite Cyberattacke alarmiert das BKA

VonBritta Weddeling, Christof Kerkmann, Sandra Louven

Vom russischen Innenministerium bis zur Deutschen Bahn: Ein Cyberangriff trifft Organisationen in aller Welt. Nun ermittelt das BKA. Aus der Politik kommt ein eindringender Appell an die Bürger.

Auch die Deutsche Bahn ist betroffen. Erst im vergangenen Februar kursierte weltweit die Ransom-Variante „Locky” und befiel auch deutsche Einrichtungen. Laut Experten können Angreifer einfach einfach neue Varianten der Ransomware erzeugen. Screenshot

Cyberangriff

Auch die Deutsche Bahn ist betroffen. Erst im vergangenen Februar kursierte weltweit die Ransom-Variante „Locky” und befiel auch deutsche Einrichtungen. Laut Experten können Angreifer einfach einfach neue Varianten der Ransomware erzeugen.

DüsseldorfIn Großbritannien schließen etliche Krankenhäuser, in Russland können 1000 Mitarbeitern des Innenministeriums nicht arbeiten. In Deutschland sind Anzeigentafeln der Deutschen Bahn blockiert, und in Spanien haben Konzerne wie Telefónica und BBVA mit Ausfällen zu kämpfen: Ein Cyberangriff hat am Freitag zahlreiche Computer von Unternehmen, Behörden und Verbrauchern in aller Welt lahmgelegt. Nach Medienberichten haben zwei Sicherheitsforscher die Ausbreitung über eine Art Notschalter zunächst stoppen können.

Das genaue Ausmaß ist noch unklar – laut Europol sei es „beispiellos“. Der russische Antiviren-Spezialist Kaspersky Lab sprach beispielsweise von mehr als 45.000 Angriffen in 74 Ländern. Avast entdeckte sogar rund 75.000 betroffene Systeme in 99 Ländern. Der Schwerpunkt liege auf Russland, der Ukraine und Taiwan, erklärte das Unternehmen in einem Blogeintrag.

Inzwischen hat das Bundeskriminalamt (BKA) die Ermittlungen übernommen. Innenminister Thomas de Maizière (CDU) betonte, der Angriff sei nicht der erste seiner Art, aber besonders schwerwiegend. Regierungsnetze seien aber nicht betroffen.

Was ist Ransomware?

Was sind Malware und Ransomware?

Malware ist ein allgemeiner Begriff, der Software bezeichnet, die schädlich ist, wie John Villasenor, Professor an der Universität von Kalifornien, erklärt. Ransomware sei ein Typ von Malware, der in erster Linie Computer übernehme und deren Nutzer daran hindere, an Daten zu gelangen, bis ein Lösegeld dafür gezahlt werde, so Villasenor.

Wie wird der Computer mit Ransomware infiziert?

In den meisten Fällen befällt die Ransomware den Computer durch Links oder Anhänge in schädlichen E-Mails, auch bekannt als sogenannte Phishing-Mails. Der beste Tipp sei hierbei, einfach nicht auf Links in E-Mails zu klicken, sagt Jerome Segura von der US-Softwarefirma Malwarebytes, die Softwares gegen die Ransomware anbietet. Ziel der Ransomware sei es, den Nutzer dazu zu bekommen, einen schädlichen Code zu aktivieren. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schadsoftware auf den Computer.

Was passiert bei Ransomware?

Wie der Name der Ransomware - „ransom“ ist das englische Wort für Lösegeld - nahelegt, nimmt die schädliche Software Daten quasi als Geisel. „Sie findet alle Ihre Dateien, verschlüsselt diese und hinterlässt eine Nachricht“, sagt Peter Reiher, Professor an der Universität von Kalifornien. „Wenn Sie möchten, dass sie entschlüsselt werden, müssen Sie bezahlen.“ Die Ransomware benutzt für die Verschlüsselung einen Schlüssel, den nur der Angreifer kennt. Zahlt der Nutzer das Lösegeld nicht, sind die Dateien oft für immer verloren, weil sie nicht mehr entschlüsselt werden können.

Hat die Ransomware einen Computer übernommen, sind die Angreifer mit ihren Forderungen meist sehr direkt, wie Segura sagt. In vielen Fällen ändern sie das Hintergurndbild des Bildschirms des PCs und geben sehr genaue Anweisungen, wie der Nutzer das Geld bezahlen kann. Viele der Hacker verlangen zwischen 300 und 500 Dollar, um die Dateien wieder zu entschlüsseln. Der Preis dafür kann sich auch verdoppeln, wenn nicht innerhalb von 24 Stunden bezahlt wird. Vertreter der Strafverfolgung raten jedoch, kein Lösegeld zu bezahlen.

Wie können solche Attacken verhindert werden?

Der erste Schritt sei es, umsichtig zu sein, so Experten. Eine „perfekt Lösung“ für das Problem gäbe es jedoch nicht, sagt Villasenor. Nutzer sollten regelmäßig ihre Daten sichern und prüfen, dass Sicherheits-Updates installiert werden, sobald diese veröffentlicht werden. Die Attacke von Freitag nutzte eine Sicherheitslücke von Microsoft Windows, für die nach Angaben des Unternehmens bereits Updates bereitgestellt worden waren. Viele Nutzer hatten sie jedoch noch nicht installiert.

Nutzer sollten zudem auf schadhafte E-Mails achten, die oft als E-Mails von Firmen oder Menschen getarnt sind, mit denen häufig E-Mail-Kontakt besteht. Es sei wichtig, nicht auf Links oder Anhänge zu klicken, da diese die Ransomware freisetzten, so Villasenor.

Die unbekannten Angreifer legten die Computer mit einem Programm namens „Wanna Cry“ lahm. Dabei handelt es sich um Ransomware, also Erpressungssoftware, die wichtige Dateien verschlüsselt und für die Freigabe 300 Dollar fordert, zu zahlen in der anonymen Digitalwährung Bitcoin. Das Programm drohte laut Bildschirmfotos, dass sich das Lösegeld nach wenigen Tagen erhöhe, wenn der Betroffene nicht zahle, und die Daten später sogar vollständig verloren seien. „Ransom” bedeutet auf Deutsch so viel wie „Lösegeld”.

Bei der Verbreitung der Ransomware nutzen die Angreifer eine Sicherheitslücke in Betriebssystem Windows, die der US-Geheimdienst NSA lange kannte und heimlich für Abhöraktionen ausnutzte – eine Hackergruppe namens „Shadow Brokers“ machte diese allerdings vor einigen Monaten öffentlich, sodass auch kriminelle Hacker diese nutzen konnten.

Der Netzaktivist Markus Beckedahl vom Verein Netzpolitik.org äußerte daher den Vorwurf, dass Sicherheitsbehörden „im Namen der Sicherheit“ massive IT-Unsicherheit schüfen – nämlich indem sie das Wissen von Sicherheitslücken kaufen und sammeln, ohne diese zu schließen. „Solange dieses System inklusive der dazugehörigen Schwarzmärkte weiter gefüttert wird, brauchen wir uns über massiven Kollateralschaden wie ‚Wanna Cry‘ nicht zu wundern.“ Das bezieht der Netzaktivist auch auf Deutschland, wo die neue Behörde Zitis künftig verschlüsselte Kommunikation knacken soll.

In Deutschland ist nach bisherigem Kenntnisstand nur die Deutsche Bahn betroffen. Demnach fielen digitale Anzeigetafeln und Ticketschalter zeitweise aus, hieß es. Der bundesweite Zugverkehr werde durch den Hackerangriff aber nicht gestört, versicherte die Bahn. Konzernchef Lutz sagte der „Bild am Sonntag“: „Sicherheitsrelevante Systeme waren nicht betroffen. Die Sicherheit des Bahnverkehrs war zu jedem Zeitpunkt gewährleistet.“

Der Autobauer Renault hat als erste Reaktion die Produktion in einigen Werken gestoppt. Der Schritt sei „Teil von Schutzmaßnahmen, um eine Ausbreitung der Schadsoftware zu verhindern“, sagte ein Firmensprecher der Nachrichtenagentur AFP am Samstag.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×