75'000 betroffene Computer IT-Experte stoppt weltweiten Cyber-Angriff – durch Zufall

Video «Weltweiter Cyberangriff legte sogar Spital lahm» abspielen

Weltweiter Cyberangriff legte sogar Spital lahm

4:21 min, aus Tagesschau vom 13.5.2017

  • Eine weltweite Cyber-Attacke hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern lahmgelegt.
  • Die IT-Sicherheitsfirma Avast entdeckte rund 75 000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan.
  • In Grossbritannien wurden Spitäler lahmgelegt, in Deutschland zeigten die Anzeigentafeln an den Bahnhöfen Fehlermeldungen.
  • In der Nacht wurde die Angriffswelle gestoppt, weil ein IT-Sicherheitsforscher auf eine Art «Notausschalter» in der Schadsoftware stiess.

Die Computer waren von sogenannten Erpressungstrojanern befallen worden, die sie verschlüsselten und Lösegeld verlangten. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde.

Bei der eingesetzten Malware handelt es sich um den Typ «Wanna Cry», der auch als «Wanna Decryptor» bekannt ist. Die Schwachstelle wurde zwar bereits im März grundsätzlich von Microsoft geschlossen – aber geschützt waren nur Computer, auf denen das Update installiert wurde.

Schweiz offenbar nicht betroffen

Die Schweiz ist vom internationalen Cyber-Angriff offenbar verschont geblieben. Zumindest seien bis Samstagmorgen keine Ausfälle gemeldet worden, heisst es bei der Melde- und Analysestelle Informationssicherung des Bundes (MELANI). Seine Behörde habe am Freitag gegen 16 Uhr die Betreiber der kritischen Infrastruktur über die mögliche Gefahr eines erpresserischen Cyber-Angriffs informiert, sagt MELANI-Leiter Pascal Lamia. Zu den kontaktierten Stellen gehörten etwa Energieunternehmen, Banken oder Spitäler. Es sei aber möglich, dass einzelne Geräte betroffen seien. In Gefahr seien alle Geräte, wo keine Updates gemacht und Angriffs-Mails angeklickt wurden.

Angriff gestoppt – durch Zufall und bis auf Weiteres

Die Angreifer scheinen eine Art Notbremse in ihr Programm eingebaut zu haben – und die Attacke wurde abgewürgt, nachdem ein IT-Forscher den Mechanismus auslöste. Der Betreiber des Blogs «MalwareTech» fand nach eigenen Angaben durch Zufall einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn.

Laptop-Screen mit Trojaner-Meldung

Bildlegende: «Wanna Cry» Der Erpressungstrojaner befiel 75'000 Computer, verschlüsselte sie und verlangte Lösegeld. Keystone

Das reichte aus, um die Ausbreitung zu stoppen. Denn das Angriffsprogramm versucht bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma Malwarebytes in einer Analyse. Ist sie aktiv, bleibt die Attacke aus.

Zugleich warnten Experten, dass die Angreifer mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen.

Urheber bisher unbekannt

Die europäischen Ermittlungsbehörde Europol bezeichnet den Angriff als von bisher «beispiellosem Ausmass». Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

Russland angeblich am stärksten betroffen

Am Freitag hatten die Folge der Attacke weltweit für Aufsehen gesorgt. Das am stärksten betroffene Land war laut einer Moskauer IT-Sicherheitsfirma Russland. Nach Angaben der Agentur Tass wurden Computer des Gesundheits- und des Zivilschutzministeriums sowie des staatlichen Ermittlungskomitees gehackt. Im Innenministerium sollen rund 1000 Rechner betroffen gewesen sein.

Der Angriff sei jedoch grösstenteils abgewehrt worden, heisst es aus Moskau. Daten seien nicht abgeflossen. Auch die grösste russische Bank Sberbank teilt mit, sie habe Angriffe abwehren können.

Britisches Gesundheitssystem schwer beeinträchtigt

In Grossbritannien mussten wegen der Störung der IT-Systeme beim öffentlichen Gesundheitssystem NHS Rettungswagen in andere Spitäler umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt. Die Bürger wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen.

«  Ärzte und Pflegepersonal in Spitälern und Arztpraxen haben keinen Zugriff mehr auf ihre Computer. »

Martin Alioth
Grossbritannien-Korrespondent SRF

«Elektronische Patientendossiers waren nicht mehr verfügbar, an verschiedenen Orten waren auch die Telefonverbindungen betroffen», sagt SRF-Korrespondent Martin Alioth. Zudem seien Operationssäle ausser Betrieb genommen worden, und es gebe keinen Zugriff mehr auf Röntgenbefunde.

Lahmgelegte Anzeigentafeln bei der Deutschen Bahn

In Deutschland erwischte es Rechner bei der Deutschen Bahn – Anzeigentafeln an den Bahnhöfen zeigten Fehlermeldungen. Der Bahnverkehr sei zwar nicht eingeschränkt, heisst es in einer Mitteilung der Bahn. Die Störungen der digitalen Anzeigentafeln könne jedoch noch bis Samstagnachmittag andauern.

Lesen Sie auch: Er wirbt für die positive Seite der Vernetzung

Sendungsbeiträge zu diesem Artikel

  • Ivan Bütler, Gründer und CEO Compass Security.

    Kampf der legalen gegen illegale Hacker

    Aus Echo der Zeit vom 10.5.2017

    Angriffe aus der virtuellen Welt stellen eine immer grössere Bedrohung für die reale Welt dar. Immer öfter dringen Hacker in Computer von Privaten und Firmen ein. Um sich gegen diese Attacken aus dem Cyberspace zu schützen, gibt es Firmen wie die Compass Security im St. Gallischen Jona.

    Sascha Zürcher

  • Der lange Arm Russlands

    Aus 10vor10 vom 4.5.2017

    Während dem US-Wahlkampf waren sie in aller Munde: russische Hacker, die angeblich E-Mails der Demokraten gehackt haben. Auch die Wahlkampagne von Emmanuel Macron soll attackiert worden sein. Viele Experten sagen, Russland versuche gezielt, die öffentliche Meinung in Europa zu beeinflussen.