Digital Life
15.05.2017

FAQ: Was man zum weltweiten Cyber-Angriff wissen muss

Weltweit sind Millionen Computer mit Schadsoftware infiziert worden, die ein Lösegeld für verschlüsselte Daten fordert. Wie konnte das passieren? Was sind die Konsequenzen?

Krankenhäuser, Produktionswerkstätten, Hotels, Ministerien, Bahn-Terminals und Computer von zahlreichen privaten Nutzern: Die Erpressersoftware "WannaCry" hat seit Freitag weltweit Tausende Computer infiziert. 200.000 Computersysteme in 150 Ländern waren mindestens betroffen – damit ist „WannaCry“ der weltweit größte Vorfall mit Erpressungssoftware, den es jemals gegeben hat. Für die Freigabe der Inhalte verlangen die Angreifer rund 300 Dollar in der Kryptowährung Bitcoin. Warum ihr den Betrag keinesfalls zahlen solltet, und wie man sich vor einem Befall seines Computersystems schützen kann, erklärt euch die futurezone.

Was steckt dahinter?
WannaCry“ ist eine Schadprogramm, das speziell dafür entwickelt wurde, den Zugriff auf Daten und Computersysteme einzuschränken, um im Anschluss Lösegeld zu erpressen. Ähnliche Erpressungssoftware gibt es seit längerem im Netz und gefährdet ist man vor allem dann, wenn man auf unbekannte Links in Mail-Anhängen klickt.

Wer war/ist betroffen?
In Deutschland fielen die Anzeigetafeln und Fahrkartenautomaten der Deutschen Bahn aus. In Großbritannien befiel „WannaCry“ mehrere Krankenhäuser und führte dazu, dass Patienten weggeschickt werden mussten. In Russland waren rund 1000 Computer im Ministerium betroffen, in Frankreich eine Produktionswerkstätte von Renault. Die Attacke geht aber weiter. Das heißt, es kommen im Minutentakt neue Systeme hinzu. "Malwaretech" hat dazu eine Live-Visualisierung.

Was ist mit Österreich?
In Österreich treten diese Fälle von Erpressungstrojanern laut einem aktuellen Bericht zum Thema „Cyber Sicherheit 2016“ nahezu täglich auf. Österreich hat sich bei „WannaCry“ international betrachtet aber „sehr gut geschlagen“, wie Alexander Riepl von CERT.at erzählt. Dem Bundeskriminalamt wurden laut aktuellen Informationen vom Montag vier Fälle gemeldet, die Dunkelziffer liegt freilich weitaus höher. Konkret erwischt hat es zwei Tankstellen, ein Hotel und ein Technologie-Unternehmen. Betroffene Personen oder Unternehmen sollten auf jeden Fall Anzeige erstatten. Bei CERT.at registrierte man am Samstag rund 70 betroffene IP-Adressen, aber auch hier gilt: Die Ausbreitung setzt sich aufgrund von modifizierten Versionen von "WannaCry" noch fort.

Wieso erreichte die Attacke dieses Ausmaß?
Im Gegensatz zu herkömmlicher Erpressungssoftware kann sich „WannaCry“ automatisch selbst weiterverbreiten. Befallen werden können dabei ausschließlich Windows-Rechner, die nicht mit aktueller Software versorgt worden sind. Bei der Attacke wird eine Sicherheitslücke in Windows ausgenutzt, die sich einst der US-Abhördienst NSA für seine Überwachung aufgehoben hatte, vor einigen Monaten hatten unbekannte Hacker sie aber publik gemacht.

Was wäre passiert, wenn die NSA die Sicherheitslücke gemeldet hätte?
Die Updates wären länger verfügbar gewesen. Die Sicherheitsexperten des Chaos Computer Club warnen etwa seit Jahren davor, dass staatliche, nicht geschlossene Sicherheitslücken am Ende eine Gefahr für alle darstellen und dabei auch Menschenleben am Spiel stehen.

Wenn die Sicherheitslücke schon seit Monaten bekannt war, warum konnte sich „ WannaCry“ dann derart rasant weiterverbreiten?
Alle Betroffenen haben noch kein Update für ihr Betriebssystem eingespielt. Microsoft veröffentlichte das Update MS17-010 im März. Viele Anwender haben die Aufforderung zum Update aber einfach weggeklickt und sich nicht um die Sicherheit ihres PCs gekümmert. In Unternehmen unterliegen Administratoren häufig einem regelmäßigen Update-Zyklus, der noch nicht erfolgt war.

Ist das nicht gefährlich?
Es ist fahrlässig von Unternehmen, aber es gibt auch logische Gründe dafür. In Krankenhäusern kommt etwa im Medizin-Bereich eine gewisse Nischen-Software zum Einsatz, die auf neueren Systemen nicht mehr läuft oder noch nicht zertifiziert wurde. Bei einfachen Systemen wie etwa Anzeigetafeln neigt man teilweise auch aus Kostengründen dazu, eher alte Rechner einzusetzen. Zum Teil laufen die Systeme auch noch mit dem veralteten Betriebssystem Windows XP.

Wie sicher sind kritische Infrastrukturen?
Das hängt von den Systemen, die eingesetzt werden, ab. Zum Beispiel lauft auch das Atomunterseebot der britischen Marine mit Windows XP. Der Wurm Stuxnet, der vor rund einem Jahrzehnt das iranische Atomprogramm sabotierte, demonstrierte ebenfalls, dass auch Industrieanlagen manipuliert werden können.

Wie kann man sich schützen?
Bei „WannaCry“ reicht es, das Sicherheitsupdate von Microsoft vom März einzuspielen. Dies wird mittlerweile von Microsoft auch für Windows XP bereitgestellt. Als "Notfallmaßnahme" reicht es, das Filesharing-Protokoll „SMBV1“ abzudrehen. Wie man das macht stellt Microsoft in einer Anleitung bereit. Es wird außerdem empfohlen, wichtige Daten regelmäßig zu sichern und physisch getrennt aufzubewahren. Das gilt sowohl für Privat- als auch Geschäftskunden.

Warum gehen Experten davon aus, dass sich „ WannaCry“ weiter ausbreitet?
Vorübergehend hatte ein 22-jähriger IT-Experte den Erpressungstrojaner am Wochenende mit einem einfachen Trick gestoppt. Mittlerweile gibt es aber schon Adaptionen der Malware, die diesen Trick umgehen können. Mit einer weiteren Ausbreitung ist daher zu rechnen. Grundsätzlich gilt: Jedes Gerät ohne aktuellste Software ist ein Sicherheitsrisiko.

Was soll man tun, wenn man betroffen ist?
Das Backup einspielen. Das CERT.at und die Experten des Bundeskriminalamts raten dazu, keinesfalls zu zahlen. Privatnutzer und Firmen, die zahlen, finanzieren die Angreifer, die dadurch mehr Ressourcen haben, nach Schwachstellen zu suchen oder sie zu kaufen. Laut Alexander Riepl von CERT.at gab es auch schon Fälle, bei denen nach erfolgreicher Zahlung keine Entschlüsselungstools bereit gestellt wurden.

Was kann man als Verbraucher sonst noch machen?
Die Software immer auf dem neuesten Stand halten ist die absolute Mindestanforderung. Außerdem sollte man eine Firewall einsetzen, die den Datenverkehr überwacht - auch innerhalb des eigenen Netzwerks, damit ein Gerät nicht andere anstecken kann. Schließlich sollte man die jahrelangen Warnungen von Experten beherzigen, nicht übereilt auf unbekannte Links in E-Mails zu klicken.

Was sind die wichtigsten Erkenntnisse für die Zukunft?
1. Wenn kritische Sicherheitsupdates bereitgestellt werden, gehören sie zeitnahe installiert.
2. Regelmäßige Backups sind essentiell.
3. Es braucht eine Verpflichtung zum Melden und Beheben von Sicherheitslücken, die auch für Geheimdienste und Staaten gilt.