London/Berlin. Ein Forscher hat die Cyber-Attacke zufällig gestoppt. Die Auswirkungen sind aber noch spürbar. In Deutschland ist die Bahn betroffen.
Eine weltweite Cyber-Attacke hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern blockiert.
Auch interessant
Außerdem hat die Cyber-Attacke auch die Technik der Deutschen Bahn zur Videoüberwachung getroffen. Dies teilte ein Sprecher des Bundesinnenministeriums am Samstag auf Anfrage in Berlin mit.
Zehntausende Rechner in 99 Ländern betroffen
Die Bahn stellt diese Technik für die Bundespolizei bereit. Die Computernetze der Bundespolizei selbst waren nach Angaben des Sprechers von den Angriffen aber nicht betroffen. Auch für die Bundesregierung und andere Bundesbehörden sei dies zum gegenwärtigen Zeitpunkt auszuschließen, hieß es.
Die IT-Sicherheitsfirma Avast entdeckte Zehntausende betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan. Nach Einschätzung der europäischen Ermittlungsbehörde Europol hatte die Attacke ein bisher „beispielloses Ausmaß“. Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. In Deutschland übernimmt das Bundeskriminalamt die Ermittlungen.
Computer von Erpressungstrojanern befallen
In der Nacht zum Samstag war die Angriffswelle gestoppt worden, weil ein IT-Sicherheitsforscher auf eine Art „Notausschalter“ in der Schadsoftware stieß.Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen.
Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Die Schwachstelle wurde zwar bereits im März grundsätzlich von Microsoft geschlossen – aber geschützt waren nur Computer, auf denen das Update installiert wurde.
weitere Videos
Die Angreifer scheinen eine Art Notbremse in ihr Programm eingebaut zu haben: Die Attacke wurde abgewürgt, nachdem ein IT-Forscher den Mechanismus auslöste. Der Betreiber des Blogs „MalwareTech“ fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Das reichte aus, um die Ausbreitung zu stoppen.
Denn das Angriffsprogramm versucht bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma Malwarebytes in einer Analyse. Ist sie aktiv, bleibt die Attacke aus. Der Sicherheitsforscher von „MalwareTech“ selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke stoppen würde. Er sei ein „Held durch Zufall“, sagte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung „Guardian“.
Angreifer könnten mit neuer Version zurückkommen
Zugleich warnten Experten, dass die Angreifer mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen.
Am Freitag hatten die Folgen der Attacke für Aufsehen gesorgt. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA der Versanddienst FedEx.
Die Deutsche Bahn erklärte, es gebe wegen „eines Trojanerangriffs im Bereich der DB Netz AG“ Systemausfälle in verschiedenen Bereichen. „Der Bahnbetrieb ist durch den Trojaner nicht beeinträchtigt. Es gibt keine Einschränkungen im Fern- und Nahverkehr“, heißt es am frühem Samstagmorgen.
An den Bahnhöfen gebe es aber noch technische Störungen an den digitalen Anzeigentafeln. Die Bahn arbeite mit Hochdruck daran, die Störung zu beheben, doch sei bis zum Nachmittag mit Beeinträchtigungen zu rechnen. Über Twitter verbreiteten Nutzer Fotos von den betroffenen Anzeigentafeln.
Der Autobauer Renault hat die Produktion in einigen Werken in Frankreich gestoppt. Der Schritt sei „Teil von Schutzmaßnahmen, um eine Ausbreitung der Schadsoftware zu verhindern“, sagte ein Firmensprecher der Nachrichtenagentur AFP am Samstag.
Autofabriken in Rumänien und England betroffen
Die Renault-Tochter Dacia teilte mit, Teile der Produktion im rumänischen Mioveni würden durch Probleme in der IT behindert. „Einige Mitarbeiter wurden nach Hause geschickt.“
Der japanische Hersteller Nissan teilte mit, ebenfalls betroffen zu sein. Es gebe allerdings keine größeren Auswirkungen auf den Betrieb. Konkret gehe es um die Fabrik in Sunderland im Nordosten Englands mit 7000 Beschäftigten.
Großbritannien stellt sich unterdessen auf ein chaotisches Wochenende im Gesundheitssystem ein. Unter anderem in London, Blackpool, Hertfordshire und Derbyshire wurden Krankenhäuser lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden.
Krankenhäuser schicken Patienten weg
Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Zum Teil mussten Patienten in andere Krankenhäuser umgeleitet werden. Auch Krebs- und Herzpatienten, deren Daten nicht zur Verfügung standen, wurden nach Hause geschickt.
Großbritanniens Premierministerin Theresa May sagte, die Attacken seien nicht gezielt gegen den NHS gerichtet gewesen. Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt und nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Im vergangenen Jahr waren unter anderem Krankenhäuser in Deutschland von Erpressungstrojanern betroffen gewesen.
Klassische Antiviren-Software bietet keinen Schutz
Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. In der aktuellen Version konnten infizierte Computer auch andere Rechner im Netzwerk anstecken.
Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Eine derart verheerende Attacke wie am Freitag gab es noch nicht.
Russisches Innenministerium ebenfalls betroffen
Die Waffe der Angreifer war Experten zufolge die Schadsoftware „Wanna Decryptor“, auch bekannt als „Wanna Cry“. Sie missbrauchte eine einst von der NSA ausgenutzte Sicherheitslücke. Geheimdienste suchen gezielt nach solchen Schwachstellen, um sie heimlich auszunutzen.
Nachdem unbekannte Hacker im vergangenen Jahr gestohlene technische Informationen der NSA dazu veröffentlicht hatten, wurde die Lücke eigentlich von Microsoft gestopft. Aber nicht alle Computer wurden auf den neuesten Stand gebracht – und das rächte sich jetzt.
Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet.
G7 wollen sich besser gegen Cyber-Attacken wappnen
Unterdessen gaben die G7-Finanzminister am Samstag im italienischen Bari das Ziel aus, sich stärker gegen solche Angriffe zu wappnen. „Wir stellen fest, dass Cyber-Vorfälle eine wachsende Gefahr für unsere Volkswirtschaften darstellen und angemessene, umfassende politische Antworten darauf für die gesamte Wirtschaft erforderlich sind“, heißt es in einem Entwurf für die Abschlusserklärung des Treffens.
Im Blick hat die Staatengruppe vor allem die Verwundbarkeit im Finanzbereich. Hintergrund ist allerdings nicht der aktuelle Cyber-Großangriff. Vielmehr hatte Italien als amtierende G7-Präsidentschaft schon zuvor einen Schwerpunkt bei diesem Thema gesetzt. (dpa/rtr)