Weltweite Cyber-Attacke Wie ein 22-jähriger Brite «Wanna Cry» mit viel Glück stoppte

Die Erpressungs-Software (Ransomware) namens «Wanna Cry» hat weltweit zehntausende Computer lahm gelegt. Nur zufällig glückte die Blockade des Trojaners. Aber ist er damit gestoppt? Die wichtigsten Fragen und Antworten.

Video «In der Schweiz waren vergleichsweise wenig Computer infisziert» abspielen

In der Schweiz waren vergleichsweise wenige Comupter infiziert

1:53 min, aus Tagesschau vom 15.5.2017

Ist ein Ende der Attacke in Sicht?

Eine befürchtete zweite Angriffswelle mit der Erpressungs-Software «Wanna Cry» ist ausgeblieben. Laut Europol, der europäischen Polizeibehörde, hat es offenbar keine neuen infizierten Computer gegeben. Auch in den USA ist die Lage laut dem Heimatschutzberater Tom Bossert unter Kontrolle. Nach seinen Angaben wurden bis Montagmittag (MESZ) rund 300'000 Computer in 150 Ländern infiziert. Das Sicherheitsunternehmen Avast hatte zuvor die etwas geringere Zahl von 213'000 Rechnern in 115 Ländern angegeben. Auch Avast erklärte aber, die Zahl der Neuinfektionen sei deutlich zurückgegangen.

Wie konnte die Weiterverbreitung des Trojaners gestoppt werden?

Ein 22-jähriger britischer Informatik-Forscher, der anonym bleiben möchte, hatte den weltweiten Trojaner-Angriff durch einen glücklichen Zufall gestoppt. Er entdeckte im Code der Schadsoftware eine bestimmte Website (Domain). Der Trojaner verschlüsselte die Daten auf dem befallenen PC erst, wenn er diese Website nicht aufrufen kann. Nachdem der Informatiker diese Domäne registriert und freigeschaltet hatte, konnte der Trojaner gestoppt werden.

Wie wirkt die Erpressungs-Software «Wanna Cry»?

Der Trojaner verschlüsselt auf den befallenen Computern alle Daten. Sie sollen erst nach Zahlung eines Lösegelds wieder entsperrt werden. Europol warnte davor, auf die Forderungen einzugehen, weil es keine Garantie für eine Freigabe der Daten gebe. Nur wenige Opfer hätten bezahlt und bislang erpressten die Hacker nur gerade rund 30‘000 Euro Lösegeld. Inzwischen soll sich aber die Lösegeldforderung von vormals 300 US-Dollar am Montag auf 600 US-Dollar verdoppelt haben.

Pascal Lamia, Leiter Melani, zur Erpresser-Software

0:25 min, aus Tagesschau am Mittag vom 15.5.2017

Wie wirkte die Schadsoftware in der Schweiz?

Pascal Lamia, Leiter der Melde- und Analysestelle des Bundes (Melani) betonte, dass vor allem veraltete Systeme mit Windows XP betroffen seien: «Updates helfen, damit man nicht infiziert wird.» Über 200 Fälle mit dem Trojaner seinen festgestellt worden.

Betroffen seien vor allem Privatpersonen und KMU. «Wir finden diese Fälle heraus durch die Überwachung von Servern. Anhand der Internet-Adressen (IP) sehen wir, ob Schweizer Geräte betroffen sind», sagte Lamia. Kritische Infrastrukturen des Bundes und grosser Firmen seien nicht betroffen.

Warum ist die Schweiz weniger stark betroffen?

In Grossbritannien und auch in China waren sehr viele veraltete Windows-Systeme mit dem Betriebssystem Windows XP betroffen, erklärt Lamia: «Die Schweiz hat da eine andere Kultur und man installiert die Updates; man möchte immer die neusten Systeme haben, also kein Windows XP, sondern eher ein Window 8 oder 10. Solche Systeme mit den neusten Updates sind nicht gefährdet.»

Was ist das Besondere an der «WannaCry»-Attacke?

Anders als bei früheren Cyber-Attacken hat der «Wanna Cry»-Angriff weltweit auch Infrastrukturbetreiber schwer getroffen. Das sei eine «definitiv andere Dimension» als vergleichbare Attacken, sagt Uwe Kissmann vom Beratungsunternehmen Accenture, zuständig für Cybersecurity. Die Gefahren in der Informatik-Sicherheit seien nicht mehr nur hypothetisch, sondern es könnten tatsächlich sehr hoher wirtschaftlicher Schaden entstehen.

Gegen wen richtet sich die Attacke?

Die Ziele der Angreifer sind bislang noch unklar. In der Regel geht es bei Erpressungs-Software um finanzielle Interessen. Mit «Wanna Cry» wurden die Opfer aufgefordert, ein Lösegeld zu zahlen, um ihre verschlüsselten Daten wieder lesen zu können.

Wie viel Lösegeld wurde gezahlt?

Nach den Worten des US-Heimatschutz-Beraters Tom Bossert wurden im Zuge der Attacke weniger als 70'000 Dollar Lösegeld gezahlt. Es sei dabei kein Fall bekannt, in dem die Zahlung tatsächlich zu einer Freigabe der Daten geführt habe, sagte Bossert.

Wer steckt hinter der Attacke?

Über die Angreifer ist bislang noch nichts bekannt. Sicherheitsexperten gehen davon aus, dass der Angriff keine besonders professionellen Fähigkeiten vorausgesetzt hat. In praktisch allen Staaten ermitteln jetzt die nationalen Polizeibehörden oder Geheimdienste.

Welche Lehren können aus der Attacke gezogen werden?

Die Angreifer hatten auf den betroffenen Computern leichtes Spiel, weil kein Reparatur-Update für eine längst bekannte Sicherheitslücke installiert worden war. Diese Lücke im Betriebssystem Windows sei bereits im März von Microsoft geschlossen worden, sagte Tim Berghoff von der deutschen Informatik-Sicherheitsfirma G Data.

Brad Smith, Chefjurist von Microsoft, sieht vor allem die Regierungen in der Pflicht. Im aktuellen Fall hatte der US-Geheimdienst NSA die Windows-Schwachstelle für seine Überwachung genutzt. Unbekannte Hacker hatten diese Informationen bei Wikileaks veröffentlicht. Cyberkriminelle konnten dies für ihre eigenen Interessen nutzen.

Microsoft gab den Regierungen eine Mitschuld. Der Angriff sei ein weiteres Beispiel, warum das Lagern von Schadprogrammen durch Regierungen oder Geheimdienste ein Problem sei, sagte Microsoft-Präsident Brad Smith. Das sei vergleichbar, wie wenn der US-Armee einige ihrer Marschflugkörper gestohlen würden.