NSA-Hintertür "Wanna Cry": Bundeskriminalamt übernimmt Ermittlungen nach Cyber-Attacke

NSA-Hintertür "Wanna Cry": Bundeskriminalamt übernimmt Ermittlungen nach Cyber-Attacke
Symbolbild: Frau mit Bildschirm auf The Cable Show in Boston, Mai 2012.
Eine erste Bilanz nach dem größten Hackerangriff der Geschichte sieht vor allem Schäden in Großbritannien. Auch in Russland infizierten sich die Systeme zahlreicher Behörden und Institutionen. Angreifer nutzten eine vom Geheimdienst NSA jahrelang verwendete Schwachstelle.

Nach der Cyber-Attacke unter anderem auf die Deutsche Bahn hat das Bundeskriminalamt BKA die Ermittlungen übernommen. Das teilte das Bundesinnenministerium am Samstag mit. Die weltweite Cyber-Attacke mit Erpressungstrojanern hatte nach Einschätzung der europäischen Ermittlungsbehörde Europol ein bisher „beispielloses Ausmaß“. Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

Wanna Cry gelangt nach derzeitigen Erkenntnissen nicht über eine Phishing-Attacke auf die Rechner der Opfer, sondern über eine Schwachstelle, die jahrelang von dem US-Geheimdienst National Security Agency (NSA) genutzt wurde, um Rechner zu infiltrieren. Mitte April gelangten zahlreiche NSA-Hackingtools in die Hände von Cyberkriminellen, die diese im Darknet zum Verkauf anboten.

Krankenwagen an einem Krankenhaus in London

Bei der Cyber-Attacke am Freitag waren nach bisherigen Angaben von IT-Sicherheitsexperten mindestens 75.000 Computer in Dutzenden Ländern infiziert worden. Betroffen waren unter anderem mehrere Krankenhäuser in Großbritannien, die Deutsche Bahn und der Telekom-Konzern Telefónica in Spanien. Die Attacke wurde in der Nacht zum Samstag gestoppt, weil ein IT-Sicherheitsforscher im Software-Code auf eine Art „Notbremse“ gestoßen war.

In Deutschland hat der Angriff auch Service- und Überwachungstechnik der Deutschen Bahn getroffen. Teilweise seien digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen in Deutschland ausgefallen, teilte ein Sprecher der Deutschen Bahn am Samstag in Berlin mit. Auch die Technik zur Videoüberwachung ist einem Sprecher des Bundesinnenministeriums zufolge betroffen. Nach Angaben der Bahn ist der bundesweite Zugverkehr durch den Trojaner allerdings nicht beeinträchtigt.

An mehreren deutschen Bahnhöfen waren am Samstag die sogenannten Reiseinformationssysteme ausgefallen, unter anderem in Halle und Leipzig. Nur der Hinweis „Bitte Aushangfahrplan beachten“ war auf den blauen Tafeln zu lesen. Außerdem informierte die Bahn mit Lautsprecherdurchsagen die Reisenden beispielsweise am Leipziger Hauptbahnhof über eine „technische Störung“. Auch Ticketautomaten funktionierten an mehreren Bahnhöfen nicht.

Ein Trojanerangriff im Bereich der DB Netz AG hatte für Systemausfälle in verschiedenen Bereichen gesorgt. Nach Angaben der Bahn wird mit Hochdruck daran gearbeitet, die Störung zu beheben. Noch bis zum Nachmittag könne es zu Beeinträchtigungen kommen.

Die Infektionen mit dem Wanna Cry-Virus nehmen globale Ausmaße an. Bild: © intel.malwaretech.com

Seit Freitag waren weltweit Zehntausende Computer von einer groß angelegten Attacke mit sogenannten Erpressungstrojanern betroffen. Die Schadsoftware verschlüsselt die Rechner und fordert Lösegeld, um sie wieder freizugeben. In der Nacht zum Samstag wurde die Angriffswelle gestoppt, weil ein IT-Sicherheitsforscher auf eine Art „Notausschalter“ in der Schadsoftware stieß.

Die Ransomware WannaCrypt, auch bekannt als WannaCry oder WanaCrypt0r, hat weltweit nur Windows-PCs befallen. Ist die Schadsoftware auf einem Rechner aktiv, sucht sie im Netzwerk nach weiteren PCs und infiziert diese. Die Cyber-Attacke nutzt eine Windows-Schwachstelle aus, die Microsoft erst Mitte März geschlossen hatte.

Russische Behörden und Firmen haben nach eigenen Angaben die Cyber-Attacke auf ihre Computersysteme größtenteils abwehren können. Das Gesundheitsministerium in Moskau teilte in der Nacht auf Samstag mit, der Angriff sei verhindert worden, Sicherheitslücken im System seien geschlossen worden. Attacken gab es nach Angaben der Agentur Tass auch auf das Zivilschutzministerium und das Staatliche Ermittlungskomitee. Im russischen Innenministerium mussten nach Angaben einer Sprecherin aber etwa 1.000 Geräte isoliert werden, die sich mit der Schadsoftware infiziert hatten. Daten seien nicht abgeflossen, sagte Sprecherin Irina Wolk.

Symbolbild

Bei dem weltweiten Versuch, zehntausende Computer mit Erpressungs-Software zu infiltrieren, war Russland das am stärksten betroffene Land, wie die Moskauer IT-Sicherheitsfirma Kaspersky mitteilte. Die Sberbank als größte russische Bank teilte mit, sie habe Angriffe abwehren können. Beim Mobilfunkbetreiber Megafon fielen die Computer vieler Mitarbeiter aus. Das Problem sei aber nach einigen Stunden unter Kontrolle gebracht worden, hieß es.

Großbritannien stellt sich nach der weltweiten Cyber-Attacke auf ein chaotisches Wochenende im Gesundheitssystem ein. In England und Schottland waren Dutzende Kliniken und andere Gesundheitseinrichtungen am Samstag noch lahmgelegt. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen.

Auch Krebs- und Herzpatienten, deren Daten nicht zur Verfügung standen, wurden nach Hause geschickt. Viele Kranke mussten in andere Kliniken umgeleitet werden. Einige Gesundheitseinrichtungen hatten vorsichtshalber ihre Computer heruntergefahren.

Unterdessen nahm die Kritik an mangelhaften Sicherheitsvorkehrungen des Nationalen Gesundheitsdienstes NHS (National Health Service) zu. Innenministerin Amber Rudd sagte am Samstag dem Sender BBC, der NHS müsse seine IT-Systeme besser schützen. Es seien etwa 45 Einrichtungen betroffen, aber keine Patienten-Daten gestohlen worden. Der NHS steckt in einer tiefen Krise und leidet unter Finanznot, weil vergangene Regierung massiv am öffentlichen Gesundheitssystem gespart hatten.

Betroffen von der Cyber-Attacke waren Computer, auf der ganzen Welt, darunter in Russland und Taiwan. Sie wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Die Schwachstelle wurde zwar im März von Microsoft geschlossen - aber geschützt waren nur Computer, auf denen das Update installiert wurde. (dpa/rt deutsch)