Berlin. Die durch den Cyber-Angriff betroffenen Anzeigetafeln der Bahn bleiben weiter gestört. Unterdessen warnen Experten vor neuen Angriffen.

  • Nach der Cyber-Attacke mit Zehntausenden blockierten Computern warnen Experten vor neuen Angriffen
  • Das Schadprogramm könnte sich weiterverbreiten, wenn am Montag Millionen ihre Rechner starten
  • Die Störung der Anzeigetafeln bei der Bahn dauert weiter an

Nach der massiven Cyber-Attacke mit Zehntausenden blockierten Computern warnen Experten vor neuen Angriffen. „Ich gehe davon aus, dass es von dieser Attacke früher der später eine weitere Welle geben wird“, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure der Deutschen Presse-Agentur. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.

Der britische IT-Forscher, der die Ausbreitung des Erpressungstrojaners am Freitag gestoppt hatte, glaubt sogar an eine baldige neue Attacke. „Vielleicht nicht am Wochenende, aber möglicherweise am Montagmorgen“, sagte der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. „Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören.“ Es sei kein großer technischer Aufwand, den Software-Code zu ändern und eine neue Angriffswelle zu starten.

Anzeigetafeln der DB weiter gestört

Zudem befürchten Computer-Experten, dass der Cyber-Angriff durch den Beginn der Arbeitswoche wieder auflebt. Wenn sich am Montag rund um den Globus Millionen Menschen nach dem Wochenende wieder in ihrer Computer einloggten, werde sich der Virus wieder weiterverbreiten, warnten Sicherheitsexperten und Unternehmensberater.

Bei der Deutschen Bahn wird die Cyber-Attacke auch in der neuen Woche noch Auswirkungen haben. Die betroffenen Anzeigetafeln würden noch „einige Zeit gestört bleiben“, teilte ein Bahnsprecher am Sonntag auf Anfrage der Deutschen Presse-Agentur mit.

Eine Anzeigetafel der Deutschen Bahn mit der Botschaft der Erpresser.
Eine Anzeigetafel der Deutschen Bahn mit der Botschaft der Erpresser. © dpa | P. Götzelt

Europol: Mindestens 200.000 Computersysteme betroffen

Die Techniker müssten die Software an jedem einzelnen Rechner, der die Anzeigetafeln steuert, reparieren. „Es gibt keinen zentralen Server, der die Tafeln steuert“, sagte der Sprecher. Neben den Fahrplan-Anzeigen seien auch einige Fahrkartenautomaten und vereinzelt Überwachungskameras ausgefallen.

Der Hackerangriff hat nach Angaben der europäischen Polizeibehörde Europol mindestens 200.000 Computersysteme in 150 Ländern getroffen. In Deutschland übernahm das Bundeskriminalamt am Samstag die Ermittlungen. Die Rechner wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen.

Angreifer drohen, Daten zu löschen

Tausende Unternehmen und Verbraucher stehen unterdessen vor der bangen Frage, ob sie in Kauf nehmen, dass ihre Daten in wenigen Tagen unwiederbringlich verloren gehen könnten – oder ob sie das geforderte Lösegeld bezahlen. Die Angreifer haben straffe Fristen gesetzt: Jetzt wollen sie 300 Dollar für die Entsperrung, ab dem 15. Mai das Doppelte – und am 19. Mai werden alle Daten angeblich gelöscht.

In einigen früheren Fällen war es gelungen, den Verschlüsselungsmechanismus der Angreifer auszuhebeln. Diesmal wird das aber allein schon durch das kurze Zeitfenster erschwert.

Neu an dem Angriff von Freitag war, dass der Erpressungstrojaner von alleine neue Computer ansteckte, ohne dass ein Nutzer etwa auf einen präparierten Link klickte. Dadurch konnte sich das Schadprogramm binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmaß.

In Großbritannien ganze Krankenhäuser lahmgelegt

Das wurde erst möglich, weil das Programm laut Experten eine Sicherheitslücke ansteuerte, die ursprünglich der US-Abhördienst NSA für seine Überwachung nutzte. Vor einigen Monaten hatten Hacker sie aber öffentlich gemacht. Microsoft hatte zwar schon Anfang des Jahres ein Update veröffentlicht, das die Schwachstelle schloss – aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde. Nach der Attacke stellte der Konzern schnell auch ein Update für veraltete Windows XP bereit, das eigentlich nicht mehr gewartet wird. Die Attacke traf laut Experten viele XP-Rechner.

Der Angriff zog weltweit Kreise. Beim russischen Innenministerium fielen rund 1000 Computer aus. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA den Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken – um die Ausbreitung der Schadsoftware zu verhindern, wie es hieß. In Schweden waren 70 Computer der Gemeinde Timrå betroffen, in Portugal der Telekom-Konzern Portugal Telecom.

Europol spricht von einem „beispiellosen Ausmaß“

Die europäische Ermittlungsbehörde Europol sprach von einem „beispiellosen Ausmaß“ der Attacke und regte ein internationales Vorgehen der Behörden an, um die Hintermänner zu finden.

Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Die Waffe der Angreifer war jetzt Experten zufolge die Schadsoftware „Wanna Decryptor“, auch bekannt als „Wanna Cry“. (dpa/rtr)