Cyberattacke in globalem Maßstab: Schwarze Bildschirme in 99 Ländern

Die bisher größte Welle von Cyberattacken hat am Freitag weltweit Systeme lahmgelegt. Auch die Deutsche Bahn wurde Ziel. Besonders hart traf es britische Kliniken.

Anzeigedisplay mit dem Hinweis „Bitte Aushangfahrplan beachten“ in einem Bahnhofsgebäude, dahinter läuft ein Pärchen

Bei der Deutschen Bahn ging es am Freitag zwangsläufig zurück zum Papier Foto: dpa

LONDON/BERLIN dpa | Eine weltweite Welle von Cyber-Attacken hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern getroffen. In Deutschland erwischte es Rechner bei der Deutschen Bahn – Fahrgäste fotografierten Anzeigentafeln mit Fehlermeldungen. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA den Versanddienst FedEx.

Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war und vor einigen Monaten von Hackern öffentlich gemacht wurde. Die Schwachstelle wurde zwar bereits im März von Microsoft grundsätzlich geschlossen – aber geschützt waren nur Computer, auf denen das Update installiert wurde.

Die IT-Sicherheitsfirma Avast entdeckte rund 75.000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan. Ihre Kollegen von Kaspersky Lab sprachen zuvor von zwischenzeitlich 45.000 Angriffen in 74 Ländern. Es sei eindeutig eine weltweite Attacke mit Meldungen über befallene Computer aus diversen europäischen Ländern, Russland und auch Asien, sagte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes.

Die Bahn teilte in der Nacht zum Samstag auf ihrer Website mit, es gebe es wegen „eines Trojanerangriffs im Bereich der DB Netz AG“ Systemausfälle in verschiedenen Bereichen. „Zugverkehr ist weiterhin möglich“, hieß es.

Britische Patientenvereinigung kritisiert IT-Mängel

In Großbritannien waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Zum Teil mussten Patienten in andere Krankenhäuser umgeleitet werden.

Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den NHS gerichtet gewesen. Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt. Verantwortlich für den Angriff seien Kriminelle, aber der NHS habe nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem zwei Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.

Die Waffe der Angreifer heißt „Wanna Decryptor“

Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. In der aktuellen Version konnten infizierte Computer auch andere Rechner im Netzwerk anstecken.

Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Eine derart verheerende Attacke wie am Freitag gab es noch nicht.

Die Waffe der Angreifer war Experten zufolge die Schadsoftware „Wanna Decryptor“, auch bekannt als „Wanna Cry“. Sie missbrauchte eine einst von der NSA ausgenutzte Sicherheitslücke. Geheimdienste suchen gezielt nach solchen Schwachstellen, um sie heimlich auszunutzen. Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurden die Lücke eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht – und das rächte sich jetzt.

„Alle, die mit kritischen Infrastrukturen zu tun haben, sollten dringend prüfen, ob ihre Systeme auf dem aktuellen Stand sind“, betonte Husemann von Malwarebytes. Microsoft fügte am Freitag Erkennung und Schutz gegen die neue Variante der Software hinzu.

In Russlands Innenministerium fielen 1000 Computer aus

In Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15.00 Uhr seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, hätten sie die Meldung bekommen, dass die Daten verschlüsselt seien und sie für die Freigabe bezahlen müssten.

Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Die PT-Homepage war am Abend nicht abrufbar. Man sei von Hackern attackiert worden, die Lösegeld gefordert hätten, bestätigte ein Firmensprecher. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen.

FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff. Die spanische Telefónica bestätigte einen „Cybersicherheits-Vorfall“. Nach Medienberichten sahen am Freitag einige Mitarbeiter auf ihren Computern die für Erpressungstrojaner typische Lösegeldforderung. Die Währung der Wahl war – wie so oft in solchen Fällen – das anonyme Online-Geld Bitcoin. Auf angeblichen Screenshots aus Großbritannien hieß es, sollte der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werden, würden alle Daten gelöscht.

Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.