Experten alarmiert

London/Madrid - Ein weltweiter massiver Cyberangriff hat bei Sicherheitsexperten Alarm ausgelöst. Demnach schlug ein Erpressungstrojaner mindestens 45.000 Mal in 74 Ländern zu.

Nach Angaben von Experten wurde dabei eine sogenannte Ransomware eingesetzt, ein Erpresservirus, das Computerdaten verschlüsselt, die danach nur gegen Zahlung einer Gebühr entschlüsselt werden können. Demnach breitet sich das Schadprogramm rasant aus. Nach Angaben von Forcepoint Security Labs wird die Schadstoffsoftware von fast fünf Millionen E-Mails pro Stunde weiterverbreitet. Das gesamte Ausmaß des Angriffs war zunächst unklar.

Die Hacker nutzten demnach eine Sicherheitslücke, die offenbar vom US-Auslandsgeheimdienst NSA entdeckt worden war - sie wurde in illegal weiterverbreiteten NSA-Dokumenten beschrieben. Laut dem Unternehmen Kaspersky wurden diese Informationen im April von einer Hackergruppe namens "Shadow Brokers" veröffentlicht, die behauptete, die Lücke durch die NSA entdeckt zu haben. In westlichen IT-Sicherheitskreisen wurden dahinter Hacker mit Verbindungen zu russischen Geheimdienst vermutet.

Krankenhäuser weisen Patienten ab

Laut Jakub Kroustek vom Sicherheitsunternehmen Avast liegt der Schwerpunkt der Angriffe derzeit in den Ländern Russland, Ukraine und Taiwan. In Großbritannien waren laut der staatlichen Gesundheitsbehörde NHS Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire betroffen.

In einigen Fällen mussten Krankenwagen zu anderen Kliniken umdirigiert werden, andere Krankenhäuser forderten Patienten auf, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Zwei Beschäftigte des Krankenhauses St. Bartholomew in London sagten der Nachrichtenagentur AFP, in ihrer Klinik seien vorsichtshalber sämtliche Computer, Wifi-Verbindungen und Telefone ausgeschaltet worden. Insgesamt gehe es um 16 NHS-Einrichtungen. Demnach gab es zunächst keine Hinweise, dass Patientendaten betroffen waren.

Vorwürfe an die NHS

Die britische Patientenvereinigung (Patients Association) kritisierte, der NHS habe Lektionen aus früheren Cyber-Attacken nicht gelernt und nicht genug getan, um seine zentralisierten IT-Systeme zu schützen. Microsoft hatte im März einen Software-Patch herausgegeben, der den Mechanismus der Weiterverbreitung der Schadsoftware verhindert. Den Experten zufolge wurde der Patch aber auf vielen Computern noch nicht aufgespielt.

Auch Telekomriesen, Firmen und Banken betroffen

Auch der spanische Telekomriese Telefónica bestätigte einen "Cybersicherheits-Vorfall". Laut Medienberichten sahen am Freitag einige Mitarbeiter auf ihren Computern die für Erpressungstrojaner typische Lösegeldforderung mit dem Hinweis, dass der Computer verschlüsselt worden sei. Die Währung der Wahl war die Online-Währung Bitcoin. Auf angeblichen Screenshots aus Großbritannien hieß es, sollte der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werden, würden alle Daten gelöscht.

Screenshot of apparent ransomware attack message sent to NHS England trusts https://t.co/jODkWomGPA pic.twitter.com/uc2HlGH9yM — BBC Breaking News (@BBCBreaking) May 12, 2017

In Schweden waren 70 Computer der Gemeinde Timrå betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15 Uhr seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, hätten sie die Meldung bekommen, dass die Daten verschlüsselt seien und sie für die Freigabe bezahlen müssten.

Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Die PT-Homepage war am Abend nicht abrufbar. Man sei von Hackern attackiert worden, die Lösegeld gefordert hätten, bestätigte ein Firmensprecher. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen. Die Situation sei inzwischen wieder normal.

Auch FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff. Nach Berichten im russischen Internet waren von der Attacke am Freitag auch Computer des Innenministeriums des Landes betroffen.

Experten besorgt

Diese Schadprogramme werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt. Klassische Antiviren-Software ist oft machtlos. Zugleich können die Angreifer mit dem Lösegeld weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware.

Nach Angaben des Bundesinnenministeriums in Berlin rät das Bundesamt für Sicherheit in der Informationstechnik dringend zum Aufspielen dieses Sicherheitspatches. Im vergangenen Jahr waren unter anderem zwei Krankenhäuser in Deutschland von Erpressungstrojanern erwischt worden, es traf aber auch deutsche Gemeindeverwaltungen.

„Alle, die mit kritischen Infrastrukturen zu tun haben, sollten dringen prüfen, ob ihre Systeme auf dem aktuellen Stand sind“, betonte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes. Microsoft fügte am Freitag Erkennung und Schutz gegen die neue Variante der Erpressungssoftware hinzu.

