Cyber-Attacke WannaCry wütet weltweit

Am vergangenen Wochenende legte die Ransomware-Attacke "WannaCry" über 200.000 Windows-Systeme lahm. Betroffen von dem Vorfall waren Rechner von Krankenhäusern, Unternehmen und Privatpersonen. Für die Angriffe nutzten die Hacker eine Lücke in Windows, die bei den betroffenen PCs noch nicht gepatcht wurde, obwohl Microsoft bereits ein Update (MS17-010) bereitgestellt hatte.

Nach der massiven Cyber-Attacke warnen nun Experten vor neuen Angriffen. "Ich gehe davon aus, dass es von dieser Attacke früher der später eine weitere Welle geben wird", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure der Deutschen Presse-Agentur. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.

Der britische IT-Forscher, der die Ausbreitung des Erpressungstrojaners am Freitag gestoppt hatte, glaubt sogar an eine baldige neue Attacke. "Vielleicht nicht am Wochenende, aber möglicherweise am Montagmorgen", sagte der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. "Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören." Es sei kein großer technischer Aufwand, den Software-Code zu ändern und eine neue Angriffswelle zu starten.

Am Sonntag wurde bekannt, dass das Ausmaß des Angriffs größer ist als zunächst angenommen: Nach Angaben von Europol traf die Attacke mindestens 150 Länder. "Nach der letzten Zählung hat es 200.000 Opfer gegeben", sagte der Chef der europäischen Ermittlungsbehörde, Rob Wainwright, am Sonntag dem britischen Fernsehsender ITV. Darunter seien auch große Firmen. Er rechnete außerdem noch mit einer steigenden Zahl zu Beginn der neuen Arbeitswoche. Europol schlug ein internationales Vorgehen der Behörden vor, um die Hintermänner zu finden. Wainwright hält es für wahrscheinlich, dass mehrere Personen für den Cyber-Angriff verantwortlich sind.

Die Rechner waren am Freitag von Erpressungstrojanern befallen worden, die sie verschlüsseln und Lösegeld verlangen. Der anonyme britische Experte hatte im Code der Schadsoftware eine von den Autoren eingebaute "Notbremse" gefunden, die er auch auslöste und damit die Ausbreitung des Erpressungstrojaners vorerst stoppte. In Deutschland übernahm das Bundeskriminalamt am Samstag die Ermittlungen. Netze der Bundesregierung seien nicht betroffen gewesen, teilte das Innenministerium mit.

Tausende Unternehmen und Verbraucher stehen unterdessen vor der bangen Frage, ob sie in Kauf nehmen, dass ihre Daten in wenigen Tagen unwiederbringlich verloren gehen könnten - oder ob sie das geforderte Lösegeld bezahlen. Die Angreifer haben straffe Fristen gesetzt: Zunächst wollten sie 300 Dollar (275 Euro) für die Entsperrung, ab diesem Montag das doppelte - und am Freitag (19. Mai) werden alle Daten angeblich gelöscht.

Als erstes waren am vergangenen Freitag Fälle aus Großbritannien bekannt geworden. Nach offiziellen Angaben traf der Cyber-Angriff 48 Organisationen des staatlichen Gesundheitsdienstes NHS allein in England. In Spanien war der Telekom-Konzern Telefónica betroffen und in den USA der Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken - um die Ausbreitung der Schadsoftware zu verhindern, wie es hieß.

Bei der Deutschen Bahn fielen teilweise digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen aus. Auch die Technik zur Videoüberwachung war einem Sprecher des Bundesinnenministeriums zufolge betroffen. Die Bahn war zunächst das einzige Unternehmen in Deutschland, von dem bekannt wurde, dass es geschädigt worden war. Nach Angaben des Konzerns war der bundesweite Zugverkehr allerdings nicht beeinträchtigt. Wann genau alles wieder funktionieren sollte, war am Sonntag zunächst unklar. Um sich in Zukunft vor solchen Angriffen schützen zu können, soll sich nun eine Task Force mit dem Problem auseinandersetzen.

Die Täter hatten Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Beim russischen Innenministerium fielen rund 1.000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet. Die Netze anderer russischer Behörden hätten dem Angriff aber standgehalten, hieß es. In Schweden waren 70 Computer der Gemeinde Timrå betroffen, in Portugal der Telekom-Konzern Portugal Telecom.

Der Softwarekonzern Microsoft gibt den Regierungen eine Mitschuld. Der Angriff sei ein weiteres Beispiel, warum das Lagern von Schadprogrammen durch Regierungen ein solches Problem sei, schrieb Microsoft-Präsident Brad Smith in einem Blog-Eintrag am Sonntag. Der Angriff sollte ein Weckruf sein. Ein vergleichbares Szenario mit konventionellen Waffen wäre, wenn dem US-Militär einige seiner "Tomahawk"-Marschflugkörper gestohlen würden.

Indessen fordert der Bundesminister für digitale Infrastruktur, Alexander Dobrindt, eine Verschärfung des IT-Sicherheitsgesetzes. Die IT-Sicherheit sei nur gewährleistet, wenn die Bedrohungslage ständig beobachtet und die Sicherheitsarchitektur ständig weiterentwickelt werde. "Dabei ist wichtig, dass bei IT-Störungen zwingend die Ereignisse an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden, um daraus Schlüsse zu ziehen und im Zweifel Gegenmaßnahmen zu entwickeln", erklärte der CSU-Politiker in der "Passauer Neuen Presse" (Montag). "Dazu müssen im IT-Sicherheitsgesetz die Vorkehrungen getroffen werden." Für Deutschland sei der Schutz der kritischen Infrastrukturen mittlerweile "zu einer existenziellen Frage geworden".