Kiew/Kopenhagen. Wieder ein großer Hackerangriff: Wochen nach der „WannaCry“-Attacke hat ein Erpressungs-Trojaner erneut in großem Stil zugeschlagen.

Sechs Wochen nach der globalen Attacke des Erpressungstrojaners „WannaCry“ hat erneut ein Cyberangriff Dutzende Unternehmen und Behörden lahmgelegt.

Der Cyberangriff betrifft offenbar nicht nur Firmen in Europa, sondern auch solche in den USA. Betroffen sind in Europa neben Russland und der Ukraine auch Deutschland, Polen, Italien, Großbritannien und Frankreich.

Strafverfolger in verschiedenen Ländern nahmen Ermittlungen gegen Unbekannt auf, da auch am Mittwoch zunächst weiter unklar war, wer hinter dem Virus steckt. Der oder die Erpresser fordern zur Wiederherstellung infizierter Computersysteme eine Art Lösegeld in der Digitalwährung Bitcoins.

Ukrainischen Behörden identifizieren zwei Methoden

Die ukrainische Polizei hat zwei Angriffsmethoden identifiziert. Hauptsächlich seien Computer über die automatische Updatefunktion einer verbreiteten Buchhaltungssoftware manipuliert worden, teilte die Behörde mit. Anschließend habe sich das Schadprogramm ähnlich wie „WannaCry“ Mitte Mai über eine bekannte Sicherheitslücke in älteren Windows-Systemen in den Netzwerken verbreitet.

Die betroffene Firma wies die Vorwürfe zurück, hatte allerdings im Mai selbst vor manipulierten Updates gewarnt. Darüber hinaus schloss die Polizei auch eine Verbreitung über sogenannte Phishing-Mails mit enthaltenen Download-Links nicht aus. Als Vorsichtsmaßnahme empfahl sie unter anderem die Abschaltung des betroffenen Protokolls. Hersteller von Antivirussoftware bestätigten die Ausnutzung der als „EternalBlue“ bekannten Sicherheitslücke von Microsoft-Systemen. Auf diese einst vom US-Abhördienst NSA ausgenutzte Schwachstelle griff auch „WannaCry“ zurück.

Ehemaliges AKW Tschernobyl betroffen

Derweil mussten an der Ruine des Katastrophen-Atomkraftwerks Tschernobyl im Zuge von Systemausfällen die Radioaktivität manuell gemessen werden. Die Agentur für die Verwaltung der Sperrzone in Tschernobyl betonte, alle wichtigen technischen Systeme der Station funktionierten normal. „Aufgrund der temporären Abschaltung der Windows-Systeme“ finde die Kontrolle der Radioaktivität manuell statt. Die Website des nach dem schweren Unfall 1986 abgeschalteten Kraftwerks war nicht erreichbar. Im vergangenen Herbst wurde eine neue Stahlhülle über die Atomruine zum Schutz vor radioaktiver Strahlung geschoben.

Betroffen von dem Angriff waren auch der Lebensmittel-Riese Mondelez („Milka“, „Oreo“), der russische Ölkonzern Rosneft, die US-Pharmafirma Merck und die dänische Reederei Maersk. Der Nivea-Hersteller Beiersdorf bestätigte am Mittwoch Berichte, wonach auch bei ihm Computer lahmgelegt seien. „In der Tat wurden wir Ziel eines Cyberangriffs“, sagte eine Unternehmenssprecherin. Dieser habe zum Ausfall der IT- und Telefonsysteme geführt. Davon seien neben der Hamburger Zentrale alle Standorte betroffen.

Risiken der Digitalisierung ernst nehmen

Ersten Erkenntnissen zufolge handelte es sich bei der aktuellen Schadsoftware um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software „Petya“, der Computer verschlüsselt und Lösegeld verlangt. Der Trojaner habe sich zumindest zum Teil über die selbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch „WannaCry“ im Mai, betonten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

„Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernstzunehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben“, erklärte BSI-Präsident Arne Schönbohm.

Die russische IT-Sicherheitsfirma Kaspersky teilte hingegen mit, es dürfte sich eher nicht um eine „Petya“-Variante handeln, sondern um eine gänzlich neue Software.

Viele Sicherheitslücken noch immer nicht gestopft

Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt – doch immer noch scheinen viele Firmen die Lücken in ihren Systemen nicht gestopft zu haben.

Rosneft sprach bei Twitter von einer „massiven Hacker-Attacke“. Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen. Mondelez berichtete bei Twitter ohne weitere Details von einem „IT-Ausfall“. Maersk erklärte bei Twitter, IT-Systeme diverser Geschäftsbereiche seien an verschiedenen Standorten lahmgelegt. Beim Werbekonzern WPP war die Firmenwebsite zeitweise nicht zu erreichen. „IT-Systeme in mehreren WPP-Unternehmen sind von einer mutmaßlichen Cyber-Attacke betroffen“, hieß es.

Empfohlener externer Inhalt
An dieser Stelle befindet sich ein externer Inhalt von X, der von unserer Redaktion empfohlen wird. Er ergänzt den Artikel und kann mit einem Klick angezeigt und wieder ausgeblendet werden.
Externer Inhalt
Ich bin damit einverstanden, dass mir dieser externe Inhalt angezeigt wird. Es können dabei personenbezogene Daten an den Anbieter des Inhalts und Drittdienste übermittelt werden. Mehr dazu in unserer Datenschutzerklärung

Die ukrainische Zentralbank warnte am Dienstag in Kiew vor einer Attacke mit einem „unbekannten Virus“. Auch der Internetauftritt der Regierung war betroffen.

Empfohlener externer Inhalt
An dieser Stelle befindet sich ein externer Inhalt von X, der von unserer Redaktion empfohlen wird. Er ergänzt den Artikel und kann mit einem Klick angezeigt und wieder ausgeblendet werden.
Externer Inhalt
Ich bin damit einverstanden, dass mir dieser externe Inhalt angezeigt wird. Es können dabei personenbezogene Daten an den Anbieter des Inhalts und Drittdienste übermittelt werden. Mehr dazu in unserer Datenschutzerklärung

Kunden der staatseigenen Sparkasse wurden an Geldautomaten anderer Banken verwiesen. In den Filialen fänden nur Beratungen statt, hieß es. Mindestens vier weitere Banken, drei Energieunternehmen, die staatliche Post sowie ein privater Zusteller seien ebenso betroffen.

22 Anzeigen bei deutscher Polizei eingegangen

Auch die Eisenbahn und der größte Flughafen des Landes, Boryspil, berichteten von Problemen. Die Webseiten mehrerer Medienunternehmen funktionierten ebenfalls nicht mehr. Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter.

Mitte Mai hatte die „WannaCry“-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows betroffen. Betroffen waren damals vor allem Verbraucher – aber auch Unternehmen wie die Deutsche Bahn und Renault. (dpa/les)