Netzpolitik
16.05.2017

WannaCry: Die Jagd nach den Cyber-Erpressern ist eröffnet

Experten suchen fieberhaft nach dem oder den Tätern, die hinter der Attacke stecken. Geschwankt wird in den Einschätzungen zwischen Nordkorea und Amateuren.

Seit Freitag wurden Millionen von Computern in 150 Ländern der Welt mit einer Erpressungssoftware lahmgelegt. Doch wer steckt hinter dem Angriff? Am Dienstag kommt eine Nation ins Gespräch, die schon des Öfteren verdächtig war: Nordkorea. Die „New York Times“ berichtet unter Berufung auf Experten, neue digitale Schlüssel wiesen auf mit Nordkorea verbundene Hacker als mutmaßliche Verdächtige hin. Die Wissenschaftler warnten allerdings, diese Indizien seien weit entfernt davon, beweiskräftig zu sein.

Programmierfehler

Andere Sicherheitsforscher gehen hingegen davon aus, dass Amateure dahinter stecken. „Die Gruppierung dahinter hat offenbar nicht viel Erfahrung“, sagte der IT-Sicherheitsexperte Christoph Fischer aus Karlsruhe am Dienstag. „Die Attacke hatte Schwachstellen, die jetzt aber auch von der guten Seite ausgenutzt werden können.“

Auch das Magazin „Wired“ wies darauf hin, dass eine Reihe von Programmierfehlern die Erpressungssoftware nach Einschätzung von Analysten ausgebremst haben dürfte. So hatte das Schadprogramm, das Hacker vor einigen Wochen vom US-Geheimdienst NSA entwendet und veröffentlicht hatten, einen eingebauten „Ausschaltknopf“, der den Infektionsweg stoppen konnte.

Auch das vergleichsweise geringe Lösegeld, dass die Angreifer über die digitale Währung Bitcoin vermutlich eingestrichen haben, gilt als Indiz für mangelnde Professionalität. Dieser Punkt könnte auch gegen Vermutungen sprechen, Nordkorea stecke hinter der Attacke. „Kim Jong Un will Milliarden bewegen und sich nicht tröpfchenweise ernähren“, sagte Fischer.

Ähnlichkeiten im Code

IT-Sicherheitsexperten von Symantec und Kaspersky waren auf Ähnlichkeiten von „WannaCry“ und früheren Schadcodes gestoßen, die unter anderem für einen Angriff gegen Sony Pictures Entertainment vor rund drei Jahren verwendet wurden. Analysen der Attacken hatten die Vermutung nahegelegt, dass die Spur nach Nordkorea führen könnte. Die für die Angriffe genutzten Werkzeuge seien jedoch allesamt im Internet für alle verfügbar, sagte Fischer.

Es kann auf jeden Fall Wochen oder Monate dauern, bis die Ermittler bei ihren Ergebnissen sicher genug seien, um rauszufinden, wer dahinter steckt. Alles, was ihr sonst noch zum weltweiten Erpressungsangriff wissen müsst, findet ihr hier.