Neuer Cyberangriff zeigt Verwundbarkeit der vernetzten Welt

Foto: epa/Rob Engelaar
Foto: epa/Rob Engelaar

KIEW/BERLIN (dpa) - Unternehmen in aller Welt werden Opfer einer zweiten großen Cyber-Attacke innerhalb weniger Wochen. Experten rätseln nun über die Motive der Angreifer. Auch wenn der Trojaner nach einem Lösegeld verlangt, scheint Geldgier nicht das wahre Motiv zu sein.

Banken, ein Flughafen, eine der weltgrößten Reedereien und die Strahlungsmessung an der Atomruine Tschernobyl - die neue Attacke eines Erpressungstrojaners griff zwar nicht so flächendeckend um sich wie «WannaCry» Mitte Mai. Aber die Liste der Opfer ist furchteinflößender. Der zweite Angriff binnen gut sechs Wochen führt einmal mehr vor Augen, wie verwundbar die vernetzte Welt sein kann. Und dass sich selbst Großkonzerne, die viele Millionen für ihre Sicherheit ausgeben, nicht sicher fühlen können. Bei global agierenden Unternehmen wie der Reederei Maersk hat das dann auch weltweit spürbare Folgen, wenn etwa Container nicht entladen werden.

Die neue Attacke wirft viele Fragen auf. Über welche Wege genau breitete sich die Erpressungssoftware aus, dass es diesmal viele Unternehmen, aber wenige Verbraucher traf? Warum scheinen die Angreifer im Gegensatz zu typischen Internet-Kriminellen so wenig an den Lösegeldzahlungen interessiert zu sein? Wer könnte dahinterstecken?

Was man weiß, ist, dass die Ukraine zuerst und am härtesten traf. Der dortige Steuersoftware-Anbieter Me-Doc gilt einigen IT-Sicherheitsexperten als «Victim Zero» - das erste Opfer, über das sich die Infektion ausbreitete. Möglicherweise über ein manipuliertes Update der Me-Doc-Software. Das könnte zumindest erklären, warum es in dem Land ein Unternehmen nach dem anderen traf.

Erpressungstrojaner verschlüsseln die Festplatte von Computern und fordern Lösegeld für die Freischaltung. Das ist ein lukratives Geschäft, das Internet-Kriminellen hunderte Millionen Dollar einbringen kann. Doch der Angriff von Dienstag war ungewöhnlich, weil die enorme Durchschlagskraft der Schadsoftware mit einer seltsamen Nachlässigkeit beim Geldeintreiben gepaart war.

Opfer sollten sich nach dem Bezahlen per E-Mail bei den Angreifern melden. Die Adresse beim deutschen Mail-Dienst Posteo wurde - wie auch nicht anders zu erwarten - schnell blockiert. Bis Mittwochnachmittag zeigte die Bitcoin-Börse der Angreifer gerade einmal 45 Geldeingänge ein. So gehe man nicht vor, wenn man Geld verdienen wolle, ist Helge Husemann von der IT-Sicherheitsfirma Malwarebytes überzeugt. «Die wollten Sachen absichtlich stören.»

Die IT-Sicherheitsfirma Comae Technologies fand dann auch einen Beweis dafür im Programmcode. Die Software tarne sich nur als Erpressungstrojaner und lösche stattdessen einfach die ersten Sektoren der Festplatte, erklärten die Experten, die schon bei der Analyse von «WannaCry» erfolgreich waren. Mit der Ukraine als besonders schwer getroffenem Angriffsziel dürfte damit die Vermutung einer politisch motivierten Cyberattacke aus Russland wieder stärker in den Vordergrund rücken. Hinter «WannaCry» vermuten einige Experten Nordkorea.

Weltweit zählte Malwarebytes zum Mittwoch 18.000 Infektionen und rund 80 Ländern. Wie schon bei «WannaCry» diente die eine einst vom US-Abhördienst NSA ausgenutzte Schwachstelle in älteren Windows-Betriebssystemen als ein Einfalltor. Es sei zwar traurig, dass auch nach dem «WannaCry»-Weckruf immer noch nicht alle die Lücke per Update geschlossen hätten, sagt Husemann. «Aber wenn dieses Ding vor sechs Wochen losgegangen wäre, hätte «WannaCry» dagegen wie ein Kinderstreich ausgesehen.» Ein einziger Computer im Unternehmen könne reichen, um ein ganzen Netzwerk zu infizieren. Und immerhin hatte «WannaCry» mehrere hunderttausend Rechner erfasst.

Die Tür für Angreifer steht vielerorts weiter offen: Der Antivirus-Spezialist Avast entdeckte bei einem Sicherheitscheck vergangene Woche noch 38 Millionen PCs, auf denen die Schwachstelle nicht gestopft war. Unternehmen weltweit müssten sich gegen ähnliche künftige Angriffe rüsten, betonte der Computer-Konzern IBM.

In Deutschland bringt die Attacke wieder die Debatte um die Staatstrojaner-Pläne der Bundesregierung auf den Plan. Der Bundestag hatte erst vergangene Woche mit den Stimmen der großen Koalition ein Gesetz verabschiedet, dass es Ermittlungsbehörden erlaubt, Geräte Verdächtiger zu infizieren. Ziel sei, auf Krypto-Kommunikation etwa per WhatsApp zugreifen zu können, bevor sie verschlüsselt oder nachdem sie entschlüsselt wird.

Experten warnen schon lange, dass ein solches Vorgehen die Sicherheit für alle senken könne, wenn die Behörden dafür Schwachstellen horten, statt sie schließen zu lassen. «Staatliche Stellen müssen alles dafür tun, damit solche Lücken schnellstmöglich geschlossen werden», forderte der Grünen-Bundestagsabgeordnete Konstantin von Notz. Auch Husemann von Malwarebytes zeigt sich überzeugt, dass «das Spiel weitergehen» werde, solange sich das Vorgehen der Behörden und nicht ändere.

Ungewöhnlich ist diesmal auch, dass IT-Sicherheitsforscher sich uneins sind, mit was genau sie es hier überhaupt zu tun haben. Erst wurde die Schadsoftware für eine Variante des seit vergangenem Jahr bekannten Erpressungstrojaners «Petya» gehalten, dann kam die russische IT-Sicherheitsfirma Kaspersky zu dem Schluss, dass es doch ein neues Programm sei und taufte es erst in «NotPetya» und dann in «ExPetr» um. Malwarebytes nennt es wegen einiger Ähnlichkeiten «Petya-esque» und Konkurrent Bitdefender griff gleich zum neuen Namen «GoldenEye», wie seinerzeit im James-Bond-Film.

Überzeugen Sie sich von unserem Online-Abo:
Die Druckausgabe als vollfarbiges PDF-Magazin weltweit herunterladen, alle Artikel vollständig lesen, im Archiv stöbern und tagesaktuelle Nachrichten per E-Mail erhalten.

Leserkommentare

Für unabhängige Themen senden Sie einen Leserbrief an die Redaktion. Allgem. Kommentardiskussion

* Pflichtfelder
Khun Wilfried Stevens 07.08.17 17:35
Der Bauplan von Windows...
...und Explorer ist seit den 80er Jahren immer wieder Angriffen ausgesetzt...folglich sollte die grösste Fehlerquelle auf jeden PC ersetzt werden...zumal auch die Firewall von Windows kaum was taugt... also Linux...