Zum Inhalt springen

75'000 betroffene Computer IT-Experte stoppt weltweiten Cyber-Angriff – durch Zufall

Legende: Video «Weltweiter Cyberangriff legte sogar Spital lahm» abspielen. Laufzeit 4:21 Minuten.
Aus Tagesschau vom 13.05.2017.
  • Eine weltweite Cyber-Attacke hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern lahmgelegt.
  • Die IT-Sicherheitsfirma Avast entdeckte rund 75 000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan.
  • In Grossbritannien wurden Spitäler lahmgelegt, in Deutschland zeigten die Anzeigentafeln an den Bahnhöfen Fehlermeldungen.
  • In der Nacht wurde die Angriffswelle gestoppt, weil ein IT-Sicherheitsforscher auf eine Art «Notausschalter» in der Schadsoftware stiess.

Die Computer waren von sogenannten Erpressungstrojanern befallen worden, die sie verschlüsselten und Lösegeld verlangten. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde.

Bei der eingesetzten Malware handelt es sich um den Typ «Wanna Cry», der auch als «Wanna Decryptor» bekannt ist. Die Schwachstelle wurde zwar bereits im März grundsätzlich von Microsoft geschlossen – aber geschützt waren nur Computer, auf denen das Update installiert wurde.

Schweiz offenbar nicht betroffen

Die Schweiz ist vom internationalen Cyber-Angriff offenbar verschont geblieben. Zumindest seien bis Samstagmorgen keine Ausfälle gemeldet worden, heisst es bei der Melde- und Analysestelle Informationssicherung des Bundes (MELANI). Seine Behörde habe am Freitag gegen 16 Uhr die Betreiber der kritischen Infrastruktur über die mögliche Gefahr eines erpresserischen Cyber-Angriffs informiert, sagt MELANI-Leiter Pascal Lamia. Zu den kontaktierten Stellen gehörten etwa Energieunternehmen, Banken oder Spitäler. Es sei aber möglich, dass einzelne Geräte betroffen seien. In Gefahr seien alle Geräte, wo keine Updates gemacht und Angriffs-Mails angeklickt wurden.

Angriff gestoppt – durch Zufall und bis auf Weiteres

Die Angreifer scheinen eine Art Notbremse in ihr Programm eingebaut zu haben – und die Attacke wurde abgewürgt, nachdem ein IT-Forscher den Mechanismus auslöste. Der Betreiber des Blogs «MalwareTech» fand nach eigenen Angaben durch Zufall einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn.

Laptop-Screen mit Trojaner-Meldung
Legende: «Wanna Cry» Der Erpressungstrojaner befiel 75'000 Computer, verschlüsselte sie und verlangte Lösegeld. Keystone

Das reichte aus, um die Ausbreitung zu stoppen. Denn das Angriffsprogramm versucht bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma Malwarebytes in einer Analyse. Ist sie aktiv, bleibt die Attacke aus.

Zugleich warnten Experten, dass die Angreifer mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen.

Urheber bisher unbekannt

Die europäischen Ermittlungsbehörde Europol bezeichnet den Angriff als von bisher «beispiellosem Ausmass». Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

Russland angeblich am stärksten betroffen

Am Freitag hatten die Folge der Attacke weltweit für Aufsehen gesorgt. Das am stärksten betroffene Land war laut einer Moskauer IT-Sicherheitsfirma Russland. Nach Angaben der Agentur Tass wurden Computer des Gesundheits- und des Zivilschutzministeriums sowie des staatlichen Ermittlungskomitees gehackt. Im Innenministerium sollen rund 1000 Rechner betroffen gewesen sein.

Der Angriff sei jedoch grösstenteils abgewehrt worden, heisst es aus Moskau. Daten seien nicht abgeflossen. Auch die grösste russische Bank Sberbank teilt mit, sie habe Angriffe abwehren können.

Britisches Gesundheitssystem schwer beeinträchtigt

In Grossbritannien mussten wegen der Störung der IT-Systeme beim öffentlichen Gesundheitssystem NHS Rettungswagen in andere Spitäler umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt. Die Bürger wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen.

Ärzte und Pflegepersonal in Spitälern und Arztpraxen haben keinen Zugriff mehr auf ihre Computer.
Autor: Martin AliothGrossbritannien-Korrespondent SRF

«Elektronische Patientendossiers waren nicht mehr verfügbar, an verschiedenen Orten waren auch die Telefonverbindungen betroffen», sagt SRF-Korrespondent Martin Alioth. Zudem seien Operationssäle ausser Betrieb genommen worden, und es gebe keinen Zugriff mehr auf Röntgenbefunde.

Lahmgelegte Anzeigentafeln bei der Deutschen Bahn

In Deutschland erwischte es Rechner bei der Deutschen Bahn – Anzeigentafeln an den Bahnhöfen zeigten Fehlermeldungen. Der Bahnverkehr sei zwar nicht eingeschränkt, heisst es in einer Mitteilung der Bahn. Die Störungen der digitalen Anzeigentafeln könne jedoch noch bis Samstagnachmittag andauern.

Lesen Sie auch: Er wirbt für die positive Seite der Vernetzung

51 Kommentare

Sie sind angemeldet als Who ? (whoareyou) (abmelden)

Kommentarfunktion deaktiviert

Uns ist es wichtig, Kommentare möglichst schnell zu sichten und freizugeben. Deshalb ist das Kommentieren bei älteren Artikeln und Sendungen nicht mehr möglich.

  • Kommentar von Sascha Freitag (SF)
    Wenn die Systeme platt sind wäre das der optimale Zeitpunkt wieder auf Papier zu wechseln. Verbringen heute doch die meisten Angestellten viel zu viel Zeit damit, Systeme zu manipulieren, weil sie sowieso nicht richtig funktionieren. Und Zeit ist heute der grösste Kostenfaktor. Papier wächst nach, verlorene Zeit nicht.
    Ablehnen den Kommentar ablehnen
  • Kommentar von martin blättler (bruggegumper)
    Dass ich nicht lache:alle unsere Anhänger des Perpetuum Mobile(erneuerbare Energie) haben Todesangst vor AKWs.Ein kleiner Cyberangriff und fertig ist mit dezentraler Energieversorgung.Je komplizierter das Netz,desto einfacher wird's für Hacker. Dass auch Spitäler am Netz hängen,ist schon fast evetualvorsätzlicher Totschlagsversuch.
    Ablehnen den Kommentar ablehnen
    1. Antwort von Charles Halbeisen (ch)
      Plutonium 239 hat eine Halbwertszeit von 24'110 Jahren. Wie lange dauert es, den Schaden eines Cyberangriffs zu beheben. 1 Woche, 1 Jahr, 20 Jahre ??? Ein Umkreis von 100 km um Tschernobyl ist Plutonium 239 verseucht. Da ist ein Cyberangriff nicht einmal mit einem Mückenstich zu vergleichen.
      Ablehnen den Kommentar ablehnen
  • Kommentar von Edwin Schaltegger (Edwin Schaltegger)
    Es ist erschreckend, wenn man die Kommentare von diesen Pseudoexperten liest. Als IT Fachmann merkt man, dass kein echtes fundiertes IT-Wissen über die Internet-, Sicherheits-technologie, Operatingsysteme vorhanden ist. Eine vernetzte Computerrsystem-Infrastruktur kann heute so sicher aufgebaut werden, dass ein "Hacken" praktisch aussichtslos ist. Dies ist nur eine Investitions- u."know how"-Frage. Aber hier liegt das Problem!
    Ablehnen den Kommentar ablehnen
    1. Antwort von Peter Mueller (Elbrus)
      @Schaltegger Wenn Sie schon der Experte sind, dann erklären Sie uns doch auf warum auf UNIX Systemen keine 500 Viren existieren - auf Microsoft aber weit über 20'000. Auf OS X von Apple gibt es keine 50 Viren - obwohl Apple weit mehr als 250 Mio Rechner installiert hat.
      Ablehnen den Kommentar ablehnen
    2. Antwort von Michel Koller (Mica)
      @Müller: Je verbreiteter ein OS, desto eher wird es ein Angriffsziel. Man muss jedoch auch unterscheiden, ob eine Schwachstelle im Betriebssystem oder Programmen ausgenutzt wird um sich einzunisten oder ob es über eine Benutzeraktion geschieht. OS X hatte 2015 am meisten Sicherheitslücken, welche öffentlich bekannt wurden. Linux hatte Lücken in OpenSSH & OpenSSL welche ebenfalls haarsträubend waren. Ich treffe auch immer wieder auf verseuchte Linuxwebserver, welche einfach nicht gepatcht werden.
      Ablehnen den Kommentar ablehnen
    3. Antwort von Peter Mueller (Elbrus)
      @koller Ich rate Ihnen diesen 2015 Report im Original zu lesen. Dort stehen 5 Microsoft Produkte mit je 150 Einträgen (OS) sowie 2 weitere Internet Explorer und Flash die zu 80% auf deas Konto von Windows gehen und nur zu einem geringeren Grad auf OS X z.B Ergo kommen dann rund 1000 Windows Einträge in der Zuwachsstatistik gegenüber 384 von OS X kummuliert aller OS X Varianten. Die CVE sind verhältnismässig fein definiert - so dass 1 Virus deutlich mehr als 1 Eintrag generiert.
      Ablehnen den Kommentar ablehnen
    4. Antwort von Simon Reber (kokolorix)
      Wieviele Viren von Linuxservern verteilt werden kann kein Mensch sagen, weil die meisten von ihnen unbeaufsichtigt vor sich hin werkeln. Als Hacker würde ich mich hüten meine besten Freunde lahmzulegen. Mac Systeme sind eine völlig bedeutungslose Randerscheinung und keinen Hackeraufwand wert. Dort werden die zahllosen Löcher nicht einmal ausgenutzt, dafür die unbedarftheit der Nutzer. Windows ist das am weitesten verbreitete System und es laufen zahllose völlig veraltete Rechner
      Ablehnen den Kommentar ablehnen
    5. Antwort von martin blättler (bruggegumper)
      Als Laie werde ich gezwungen,mir Expertenwissen anzueignen,um nicht betrogen zu werden.Dann sollten nur noch Auto und Motorradmechaniker ein Fahrzeug fahren dürfen.
      Ablehnen den Kommentar ablehnen
    6. Antwort von Michel Koller (Mica)
      Sie müssen schon unterscheiden zwischen Verwundbarkeit des OS oder bei Programmen. Gerade Flash muss ständig gepatcht werden. Die hohe Anzahl Lücken bei OS X, bei relativ wenig Infektionen, zeigt dass die Angreifen das System links liegen lassen. Kein Wunder, denn Windows hat 85% Marktanteil. Da sind die Anderen schlicht uninteressant für die Angreifer. Wenn man das Script anpasst, würde die Dateiverschlüsselung auch auf den anderen OS funktionieren.
      Ablehnen den Kommentar ablehnen