Chaos nach zweiter globaler Cyber-Attacke

BERLIN. Nach dem zweiten massiven Angriff mit Erpressungssoftware innerhalb zweier Monate kämpfen Firmen rund um den Globus mit dessen Folgen. Zu den betroffenen Unternehmen zählen unter anderem die dänische Reederei Maersk, der größte russische Ölproduzent Rosneft, der US-Pharmakonzern Merck (in Europa: MSD) , die französische Bahn SNCF oder der Lebensmittel-Riese Mondelez ("Milka", "Oreo"). Besonders hart traf es Unternehmen und Behörden in der Ukraine.

Tschernobyl-Ruine betroffen

An der Ruine des ukrainischen Katastrophen-Reaktors Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Wichtige technische Systeme der Station funktionierten dort aber normal, heißt es.

Die Schadsoftware verbreitete sich am Dienstag nicht nur über die Windows-Sicherheitslücke, die im Mai bereits der Trojaner "WannaCry" nutzte, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken. Unterdessen sehen Experten Hinweise darauf, dass die Angreifer eher auf Chaos und nicht auf Profit aus waren.

Während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen darstellen, war die Bezahlfunktion bei der neuen Attacke äußerst krude gestaltet. Die Angreifer verlangten zwar 300 Dollar in der Cyberwährung Bitcoin. Doch alles Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen nur 35 Zahlungen auf dem Bitcoin-Konto ein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ruft Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden. Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen.

2000 Angriffe verzeichnet

Die russische IT-Sicherheitsfirma Kaspersky verzeichnete am Dienstag rund 2000 erfolgreiche Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien, Frankreich und den USA. In Deutschland soll auch die Hamburger Zentrale des Kosmetik-Konzerns Beiersdorf betroffen sein. Der neue Angriff breitete sich langsamer aus als der "WannaCry"-Trojaner, der binnen eines Tages hunderttausende Computer befiel. Aber er zog mehr international agierende Unternehmen in Mitleidenschaft.

IT-Sicherheitsexperten sind sich unterdessen uneins, mit welcher Sofware sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vorigem Jahr bekannten Erpressungs-Software "Petya". Kaspersky kam hingegen zu dem Schluss, es sei keine "Petya"-Variante, sondern eine neue Software, die sich nur als "Petya" tarne. Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner "WannaCry", erklärten die IT-Sicherheitsfirma Symantec und das BSI. In internen Netzen nutze "Petya" aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI.

Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt – doch das scheinen viele Firmen noch immer nicht installiert zu haben. Betroffen waren diesmal auch Systeme mit dem aktuellen Microsoft-Betriebssystem Windows 10. "WannaCry" konnte dagegen nur bei älteren Windows-7-Rechnern zuschlagen.

Mitte Mai hatte die "WannaCry"-Attacke hunderttausende Windows-Computer in mehr als 150 Ländern infiziert. Betroffen waren damals vor allem Privatpersonen – aber auch Krankenhäuser rund um den Globus. IT-Experten mahnen Kliniken und Praxen, sich vor weiteren Cyberangriffen zu schützen. Überraschend kam die neuerliche Cyberattacke indes nicht. So hatte Professor Kai Rannenberg, Sprecher des Beirats der International Federation for Information Processing (IFIP) in der Gesellschaft für Informatik (GI), bereits im Mai gewarnt, dass WannaCry voraussichtlich nur der erste einer ganzen Reihe von Cyber-Angriffen ist, die in den kommenden Wochen und Monaten gestartet werden. Es sei nur eine Frage der Zeit, bis weitere Angriffe erfolgten, die auf die von der NSA genutzen Sicherheitslücken unternommen würden, zu denen sich wiederum Cyberkriminelle Zugang verschafft haben. IFIP-Präsident Mike Hinchey sieht IT-Verantwortliche in der Pflicht, kritische Infrastrukturen, zu denen Großkliniken zählen, zu schützen. Vor dem Hintergrund der Erfahrungen mit vereinzelten Cyber-Angriffen auf deutsche Krankenhäuser und den jüngsten Attacken durch die Erpressungssoftware "WannaCry" forderte der Marburger Bund vor Kurzem ein staatliches Förderprogramm für eine moderne Krankenhaus-IT in Höhe von zehn Milliarden Euro über die nächsten sechs Jahre. Ob die aktuelle Cyber-Attacke auch deutsche Kliniken oder Praxen traf, ist noch nicht bekannt. (dpa/maw)