Mi, 13. Dezember 2017

"Apokalypse"

13.05.2017 09:36

Weltweite Cyber-Attacke blockiert Zehntausende PCs

Eine weltweite Welle von Cyber-Attacken hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern getroffen. In Deutschland erwischte es Rechner bei der Deutschen Bahn - Fahrgäste fotografierten Anzeigentafeln mit Fehlermeldungen. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefonica betroffen und in den USA den Versanddienst FedEx. Experten bezeichneten den Angriff sogar als "Apokalypse".

Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Die Schwachstelle wurde zwar bereits im März von Microsoft grundsätzlich geschlossen - aber geschützt waren nur Computer, auf denen das Update installiert wurde.

Die IT-Sicherheitsfirma Avast entdeckte rund 75.000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan. Ihre Kollegen von Kaspersky Lab sprachen zuvor von zwischenzeitlich 45.000 Angriffen in 74 Ländern. Es sei eindeutig eine weltweite Attacke mit Meldungen über befallene Computer aus diversen europäischen Ländern, Russland und auch Asien, sagte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes der Deutschen Presse-Agentur.

Die deutsche Bahn teilte in der Nacht zum Samstag auf ihrer Website mit, es gebe es wegen "eines Trojanerangriffs im Bereich der DB Netz AG" Systemausfälle in verschiedenen Bereichen. "Zugverkehr ist weiterhin möglich", hieß es.

Britische Krankenhäuser betroffen
In Großbritannien waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Zum Teil mussten Patienten in andere Krankenhäuser umgeleitet werden.

Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den NHS gerichtet gewesen. Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nichts gelernt. Verantwortlich für den Angriff seien Kriminelle, aber der NHS habe nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem zwei Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.

Klassische Antiviren-Software oft machtlos
Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. In der aktuellen Version konnten infizierte Computer auch andere Rechner im Netzwerk anstecken.

Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es in Deutschland zum Beispiel aber auch Gemeindeverwaltungen. Eine derart verheerende Attacke wie am Freitag gab es noch nicht.

"Überpüfen, ob Systeme auf aktuellem Stand sind"
Die Waffe der Angreifer war Experten zufolge die Schadsoftware "Wanna Decryptor", auch bekannt als "Wanna Cry". Sie missbrauchte eine einst von der NSA ausgenutzte Sicherheitslücke. Geheimdienste suchen gezielt nach solchen Schwachstellen, um sie heimlich auszunutzen. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Lücke eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht - und das rächte sich jetzt.

"Alle, die mit kritischen Infrastrukturen zu tun haben, sollten dringend prüfen, ob ihre Systeme auf dem aktuellen Stand sind", betonte Husemann von Malwarebytes. Microsoft fügte am Freitag Erkennung und Schutz gegen die neue Variante der Software hinzu.

IT-Blogger konnte Attacke stoppen
In der Nacht auf Samstag konnte die Attacke schließlich gestoppt werden. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung "Guardian" am Samstag. Die Registrierung durch "MalwareTech" dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte.

Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde. Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein "Held durch Zufall", erklärte auch Kalember von Proofpoint.

 krone.at
Redaktion
krone.at
Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden