Es sei kein großer technischer Aufwand, den Software-Code zu ändern und eine neue Welle zu starten. Vom ersten Angriff waren mehr als 200.000 Computersysteme betroffen.
Wien. Nach der Cyber-Attacke mit Zehntausenden blockierten Computern am Wochenende warnen Experten vor neuen Angriffen. „Ich gehe davon aus, dass es von dieser Attacke früher oder später eine weitere Welle geben wird“, sagt Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um ihn nicht zu wiederholen.
Der britische IT-Forscher, der die Ausbreitung des Erpressungstrojaners am Freitag gestoppt hatte, glaubt sogar an eine baldige neue Attacke. „Möglicherweise Montagfrüh“, sagte der 22-Jährige, der weiterhin anonym bleiben will, dem Sender BBC. „Da ist viel Geld im Spiel. Es gibt keinen Grund für sie, aufzuhören.“ Es sei kein großer technischer Aufwand, den Software-Code zu ändern und eine neue Angriffswelle zu starten.
Der Hackerangriff vom Wochenende hat nach Angaben der europäischen Polizeibehörde Europol mindestens 200.000 Computersysteme in 150 Ländern getroffen. Europol-Chef Rob Wainwright sagte dem Sender ITV am Sonntag, die weltweite Reichweite des Cyberangriffs sei ohne Beispiel.
Sicherheitsfirma registrierte erste Lösegeldzahlungen
Die Rechner wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Der anonyme britische Experte hatte im Code der Schadsoftware eine von den Autoren eingebaute „Notbremse“ gefunden, die er auch auslöste und damit die Ausbreitung des Erpressungstrojaners vorerst stoppte.
Ungeachtet der Warnungen von Behörden sind einige Opfer auf die Lösegeldforderungen der Angreifer eingegangen. Die IT-Sicherheitsfirma Digital Shadows teilte am Sonntag mit, sie habe Transaktionen in der virtuellen Währung Bitcoin im Wert von 32.000 Dollar registriert. Der Anti-Virenprogramm-Hersteller Symantec sprach von 81 Transaktionen im Umfang von 28.600 Dollar.
Die Attacke hat laut Wainwright eine so starke Wirkung entfalten können, weil die Schadsoftware mit einer „Wurmfunktionalität“ gekoppelt gewesen sei, die eine automatische Ausbreitung ausgelöst habe: „Die letzten Zählungen ergeben mindestens 200.000 Opfer, darunter viele Firmen, auch große Firmen.“ Auch er warnte vor einer neuen Welle von Attacken zu Beginn des Arbeitsbetriebs am Montag. „Momentan sehen wir uns der Gefahr einer Eskalation gegenüber. Die Zahlen steigen und ich bin besorgt, wie die Zahlen sich weiter steigern werden, wenn die Menschen am Montag wieder an ihre Arbeitsplätze gehen und ihre Computer einschalten.“
Renault stoppt Produktion
Die Angriffe hatten am Wochenende unter anderem die Produktion bei Renault und Nissan behindert. Renault stoppte den Betrieb in einigen Werken in Frankreich. Der Schritt sei „Teil von Schutzmaßnahmen, um eine Ausbreitung der Schadsoftware zu verhindern“, sagte ein Firmensprecher.
Nach Informationen aus Gewerkschaftskreisen sei das Werk in Sandouville in der Region Seine-Maritime mit rund 3400 Mitarbeitern besonders betroffen gewesen. Aus dem Werk kommen vor allem Nutzfahrzeuge wie der Renault Trafic. Allerdings sei dort am Wochenende auch nur eine eingeschränkte Produktion geplant gewesen. Andere betroffene Unternehmen in Frankreich wurden zunächst nicht bekannt. Im Renault-Konzern wurden zudem Computer bei der Firma Revoz in Slowenien befallen. Beim Partner Nissan war die Produktion im britischen Werk Sunderland beeinträchtigt. Das Ausmaß der Probleme habe sich aber in Grenzen gehalten, sagte ein Sprecher. Renault und Nissan sind in einer globalen Allianz miteinander verbunden und entwickeln unter anderem Fahrzeuge gemeinsam.
Besonders schwer betroffen war am Freitag das britische Gesundheitssystem. Dort mussten wegen der Störung der IT-Systeme Rettungswagen in andere Kliniken umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt. Im Laufe des Samstags kehrte man aber fast zum Normalbetrieb zurück. Nahezu alle betroffenen Krankenhäuser hätten ihre Arbeit wieder aufnehmen können, sagte die britische Innenministerin Amber Rudd. Die betroffenen Organisationen hätten sehr gut reagiert.
Österreich kaum betroffen
Auch aus Österreich gingen am Samstag Meldungen von betroffenen Firmen ein. Es gebe vorerst aber „weniger als ein Dutzend Fälle“, hieß es aus dem Bundeskriminalamt. Angegriffen wurden Unternehmen aus verschiedenen Branchen – etwa ein Hotel und ein Technologie-Unternehmen.
("Die Presse", Print-Ausgabe, 15.05.2017)
