Europol warnt vor Eskalation der Cyber-Attacke
Mit dem Erpressungstrojaner „Wanna cry“wurden in den vergangenen Tagen tausende Computer infiziert und Unternehmen bedroht. Ein Zufall stoppte vorerst die weitere Verbreitung. Experten gehen aber davon aus, dass eine weitere Angriffswelle droht.
Wien – Es ist ein Albtraum für ITExperten, der am Wochenende Realität geworden ist. Gut 200.000 Rechner in rund 150 Ländern waren Ziel eines Hackerangriffs. „Wanna cry“heißt jener Erpressungstrojaner, der über eine Windows-Sicherheitslücke in Rechner eingespeist wurde, die darauf befindlichen Daten verschlüsselt und diese nur gegen Lösegeld wieder freigibt.
Vom Angriff betroffen waren sowohl kleine Unternehmen als auch große Konzerne: britische Spitäler, russische Polizeicomputer oder die spanische Telefónica. Renault etwa stoppte den Betrieb in einigen Werken, um die Ausbreitung der Schadsoftware zu verhindern. In Österreich waren am Wochenende 70 Fälle bekannt.
„Beispielloses Ausmaß“
Bei der europäischen Ermittlungsbehörde Europol sprach man von einer Attacke mit bisher „beispiellosem Ausmaß“. Das Besondere an diesem Angriff war, „dass durch die bekannt gewordene Schwachstelle alle Computer innerhalb eines Unternehmens rasch betroffen sind“, erklärt Harald Reisinger von der IT-Sicherheitsfirma Radar-Services. Nur durch die Abschaltung der Systeme konnte die Verbreitung von Wanna cry verhindert werden. Hacker verschaffen sich sonst üblicherweise Zugang zu einem Rechner im Unternehmen, von dem aus sie sich durch jene Systeme arbeiten, die mit diesem infizierten Computer in Verbindung stehen.
Gestoppt wurde die weltweite Cyber-Attacke von einem britischen IT-Forscher, der den Blog MalwareTech betreibt. Der 22-Jährige, der anonym bleiben will, fand laut eigenen Angaben einen Domainnamen im Code des Trojaners und registrierte diesen. Dadurch wurde die Ausbreitung – auch zu seiner Überraschung – sofort gestoppt. Diese Notbremse war im Trojaner eingebaut. Solange sie aber nicht im Internet aktiv war, verschlüsselte das Programm die Rechner. Mittlerweile hat Microsoft einen Sicherheits-Patch erstellt, mit dem die Lücke geschlossen werden kann.
9,78 Euro kostete die Registrierung der Domain, die weiteren Schaden vorerst verhinderte. Weitaus teurer wird es für die betroffenen Unternehmen. Um die verschlüsselten Daten wieder freizugeben, wurden nach bisherigen Angaben 300-600 Dollar pro Fall gefordert. Die Bezahlung erfolgt in Bitcoins. Die Transaktionen der Krypto-Währung erfolgen durch den Austausch von Zahlenkombinationen auf elektronische Geldbörsen, so genannten „wallets“. Hinter den Transaktionen stehen weder Notenbanken noch Sicherheitssysteme wie etwa das SwiftSystem im Zahlungsverkehr der Banken. Daher sind Geldflüsse für Behörden nicht nachvollziehbar. „Die Systeme zur Überwachung dieser Transaktionen stehen noch ganz am Anfang“, sagt Radar-Services-Chef Reisinger.
Wie viel Geld bereits erbeutet wurde, ist noch nicht klar. Das Bundeskriminalamt rät betroffenen Personen, in jedem Fall Anzeige zu erstatten und rät davon ab, geforderte Lösegelder zu bezahlen, sagt Pressesprecher Vincenz Kriegs-Au. Wenn schon etwas be- zahlt wurde, soll die Wallet-Adresse der Bitcoins gesichert werden. Diese könne fotografiert oder aufgeschrieben werden.
Weil Angriffe auf Unternehmen immer häufiger werden und Daten oder die Produktion schnell bedroht werden können, „haben viele Betriebe in Österreich bereits eine Bitcoin-Börse, um im Falle des Falles rasch zahlen zu können“, sagt Reisinger. Denn oft sei es für Unternehmen billiger, eine finanzielle Forderung zu erfüllen, wenn dafür die Produktion nicht stehenbleibt. Im Anschluss würden die Firmen ihre Systeme sicherheitstechnisch aufrüsten.
Darin sehen Experten auch die größte Herausforderung. Die jeweiligen Systeme gehörten aktuell gehalten, was oft nicht passiere. Die Zeiten, in denen alle paar Monate eine Aktualisierung vorgenommen werden musste, seien definitiv vorbei. Zudem wird dazu geraten, Daten regelmäßig auf externe Speichermedien zu sichern. Auch die Installation von Schutzsystemen samt Überwachung sei wichtig. In diesem Bereich müssten Firmen auch eine Anpassung der Betriebs- teams vornehmen. Dass die Angriffswelle vor dem Wochenende gestartet wurde, ist für Reisinger kein Zufall. Da sind kaum bzw. nur wenige IT-Stellen besetzt.
Daher – und weil sicher noch nicht alle Computer das Sicherheitsupdate von Microsoft haben – gehen Experten davon aus, dass zu Wochenbeginn eine weitere Welle an infizierten Computern hochschwappt. Europol-Chef Rob Winwright fasst die Lage so zusammen: „Momentan sehen wir uns der Gefahr einer Eskalation gegenüber.“(bpf, Reuters)