Das Ausmaß der Schäden wird erst nach und nach deutlich. Zwar dürfte die Attacke deutlich weniger Rechner weltweit befallen haben als bei dem Angriff mit dem Erpressungs-Trojaner WannaCry im Mai. Dennoch teilten auch heute namhafte Unternehmen mit, dass ihre Aktivitäten durch die Verschlüsselungs-Software beeinträchtigt sind. So kann etwa die dänische Reederei Maersk bis auf Weiteres keine Aufträge entgegennehmen. Es sei offen, wann sich die Abläufe wieder normalisierten.
Die französische Bank BNP Paribas teilte mit, der Trojaner habe die Immobiliensparte des Konzerns getroffen. Die ebenfalls französische Supermarktkette Auchan beklagte, dass in ihren Filialen in der Ukraine die Kassen-Terminals ausgefallen seien. Auch der Hafen der indischen Metropole Mumbai meldet Beeinträchtigungen. In Deutschland war der Hamburger Kosmetikhersteller Beiersdorf betroffen.
Angriffe vor allem in Russland und in der Ukraine
Die Angriffe begannen gestern vor allem in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien, Frankreich und später in den USA. An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Wichtige technische Systeme der Station funktionierten dort aber normal. Unklar ist, wer der oder die Täter sind.
Zum Einsatz kam dabei wieder ein Erpressungs-Trojaner, der Computerdaten verschlüsselt. Offensichtlich nutzt die Software die gleiche Sicherheitslücke wie der Trojaner WannaCry, der im Mai hunderttausende Computer in aller Welt befallen hatte. Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt - doch das scheinen viele Firmen noch immer nicht installiert zu haben.
300 US-Dollar Lösegeld
In den USA teilte der Nationale Sicherheitsrat mit, dass die Attacke eingehend untersucht werde. Das Ministerium für Heimatschutz appellierte an alle Betroffenen, die geforderte Lösegeldsumme nicht zu bezahlen, weil unklar sei, ob die Daten auf den betroffenen Rechnern wiederhergestellt würden.
Während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, war die Bezahlfunktion bei der neuen Attacke äußerst krude gestaltet. Die Angreifer verlangten 300 Dollar in der Cyberwährung Bitcoin. Das Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen nur 35 Zahlungen auf dem Bitcoin-Konto ein.
Die Schadsoftware verbreitete sich am Dienstag nicht nur über die Windows-Sicherheitslücke, die im Mai der Trojaner "WannaCry" ausgenutzt hatte, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken. Unterdessen sehen Experten Hinweise darauf, dass die Angreifer eher Chaos anrichten wollten und nicht auf Profit aus waren. Die ukrainische Cyberpolizei identifizierte zwei Angriffsmethoden. Hauptsächlich seien Computer über die automatische Updatefunktion einer verbreiteten Buchhaltungssoftware manipuliert worden, teilte die Behörde mit. Anschließend habe sich das Schadprogramm ähnlich wie "WannaCry" Mitte Mai über eine bekannte Sicherheitslücke in älteren Windows-Systemen in den Netzwerken verbreitet.
CCC kritisiert "staatlich gehortete Sicherheitslücken"
Falk Garbsch, der Sprecher des Chaos Computer Clubs, sagte im Inforadio des RBB, der neue Virus setzte nicht nur auf die Sicherheitslücke, die bereits von der NSA ausgenutzt wurde, sondern auch auf andere Lücken. "Das ist der Grund, warum sich dieser Virus auch auf Windows 10 Systemen weiterverbreiten kann, sich durch große Netzwerke fräst und da quasi alles mitnimmt, was er irgendwie runterreißen kann." Es reiche im Zweifelsfall aus, dass ein einzelner Rechner in einem Firmennetzwerk infiziert werde.
Garbsch forderte ein Umdenken in der Digitalpolitik. In der vergangenen Woche sei "das Staatstrojaner-Gesetz durch den Bundestag geprügelt" worden. "Das ist ein Gesetz, das damit spielt, dass Sicherheitslücken durch Staaten geheim gehalten werden. Und das muss aufhören. Solange wir diesen Kurs folgen, solange wir diese IT-Sicherheitspolitik weiter betreiben, dass Staaten Sicherheitslücken horten, müssen wir damit rechnen, dass das regelmäßig passiert."
(nch/dwi/mg)