Ein riesiger Cyberangriff hat am Freitag über 90 Länder getroffen. In Krankenhäusern, Telekommunikationsfirmen und anderen Unternehmen wurden dabei Computerdaten gesperrt und Lösegeld gefordert. Dabei soll es sich um die weitreichendste Cyberattacke handeln, die je verzeichnet wurde. Zu den Opfern zählten auch Einzelpersonen.

Die Schadsoftware nutze dabei offenbar eine Lücke von Microsoft Windows, die bereits von der US-Sicherheitsbehörde NSA festgestellt und später von Hackern öffentlich gemacht wurde.

1 / 5

Grossbritannien stellt sich auf ein chaotisches Wochenende im Gesundheitssystem ein. In England und Schottland waren Dutzende Kliniken und andere Gesundheitseinrichtungen am Samstag noch lahmgelegt.

Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen. Auch Krebs- und Herzpatienten, deren Daten nicht zur Verfügung standen, wurden nach Hause geschickt.

45 Einrichtungen betroffen

Viele Kranke mussten in andere Kliniken umgeleitet werden. Einige Gesundheitseinrichtungen hatten vorsichtshalber ihre Computer heruntergefahren. Unterdessen nahm die Kritik an mangelhaften Sicherheitsvorkehrungen des Nationalen Gesundheitsdienstes NHS (National Health Service) zu. Innenministerin Amber Rudd sagte am Samstag dem Sender BBC, der NHS müsse seine IT-Systeme besser schützen.

Es seien etwa 45 Einrichtungen betroffen, aber keine Patienten-Daten gestohlen worden. Der NHS steckt in einer tiefen Krise und leidet unter Finanznot. Betroffen von der Cyber-Attacke waren Computer in rund 100 Ländern. Sie wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen.

NHS Digital, das für die Cybersicherheit von Krankenhäusern zuständig ist, teilte mit, bei dem Angriff sei die Malware-Variante «Wanna Decryptor» (auch: auch «WCry» oder «WannaCry») verwendet worden. Damit werden Computer infiziert und gesperrt, während die Angreifer Lösegeld verlangen.

Keine Schadensmeldungen in der Schweiz

Die Schweiz ist von dem internationalen Cyber-Angriff nicht betroffen gewesen. Bei der Melde- und Analysestelle Informationssicherung (MELANI) gingen keine Schadensmeldungen ein.

Seine Behörde habe am Freitag gegen 16 Uhr die Betreiber der kritischen Infrastruktur über die mögliche Gefahr eines erpresserischen Cyber-Angriffs informiert, sagte MELANI-Leiter Pascal Lamia am Samstag auf Anfrage der Nachrichtenagentur sda. Zu den kontaktierten Stellen gehörten etwa Energieunternehmen, Banken oder Spitäler. Bis Samstagmorgen seien keine Ausfälle gemeldet worden. Es sei aber möglich, dass einzelne Geräte betroffen seien. In Gefahr seien alle Geräte, wo keine Updates gemacht und Angriffs-Mails angeklickt wurden.

Dass die Schweiz von dem Angriff verschont wurde, könnte mit der fortgeschrittenen Sensibilisierung zusammenhängen, mutmasste Lamia. Es gebe Länder, wo weniger regelmässig über Gefahren informiert werde. Aber auch in der Schweiz könnte noch viel mehr getan werden.

«Held durch Zufall» stoppt Malware

Ein IT-Forscher konnte die Attacke inzwischen stoppen, wie Experten berichten. Der Betreiber des Blogs «MalwareTech» fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn.

Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung «Guardian» am Samstag. Die Registrierung durch «MalwareTech» dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte.

Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde. Der Sicherheitsforscher von «MalwareTech» selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein «Held durch Zufall», erklärte auch Kalember von Proofpoint.

Russland und Grossbritannien zählen zu infizierten Ländern

Spaniens Nationalinstitut für Internetsicherheit (INCIBE) gab am späten Freitagabend bekannt, dass die im Land betroffenen Unternehmen wieder Kontrolle über ihre Systeme hätten. Welche Firmen genau getroffen wurden, teilte INCIBE zunächst nicht mit.

Spaniens Telekommunikationsriese Telefónica hatte zuvor mitgeteilt, auch Ziel der Cyberattacke gewesen zu sein. Auch das US-Kurier- und Logistikunternehmen Fedex meldete, von der Cyberattacke betroffen zu sein. Es gäbe Störungen wegen der Malware, teilte Fedex mit. In Deutschland waren Computer der Deutschen Bahn betroffen. Wie das Unternehmen mitteilte, war jedoch der «Zugverkehr nicht beeinträchtigt und stabil». Betroffen seien die Anzeigetafeln in den Bahnhöfen. «Wir arbeiten mit Hochdruck daran», erklärte das Unternehmen.

Am härtesten getroffen wurde Russland, wie die Firmen Kaspersky Lab und Avast angaben. Das russische Innenministerium bestätigte, es sei von dem sogenannten Ransomware-Angriff getroffen worden, bei dem Daten auf infizierten Computern verschlüsselt werden und eine Zahlung gefordert wird – für gewöhnlich per Online-Währung Bitcoin –, um das Datenmaterial wieder freizugeben.

Verlust der Daten droht

Im Internet kursierten Fotos von Nachrichten auf NHS-Bildschirmen, in denen umgerechnet rund 275 Euro der Online-Währung Bitcoin als Lösegeld gefordert werden, um die Computer wieder freizugeben.

Sicherheitsexperten sagten, die Attacke schien von einer sich selbst vervielfältigenden Software ausgegangen, die sich freisetzt, wenn Angestellte von Firmen oder Organisationen auf einen Anhang in einer E-Mail klickten. Die Malware verbreite sich dann intern von Computer zu Computer. Die Lösegeldforderungen beginnen dann bei rund 300 Dollar und steigen nach einigen Stunden auf rund das Doppelte, wie Kurt Baumgartner von der russischen Internetsicherheitsfirma Kaspersky Lab. Sonst drohe ein Verlust der Daten.

Microsoft reagiert

Alan Woodward, Gastprofessor an der University of Surrey, sagte, es gebe Beweise, dass die Ransomware sich verbreite, indem ein Microsoft-Fehler ausgenutzt werde. Die betroffenen Computer hätten wahrscheinlich nicht die Microsoft-Fehlerbehebung angewendet oder arbeiteten mit alten Betriebssystemen, für die keine Fehlerbehebung verfügbar sei.

Kurz nach Bekanntwerden der Attacke gab Microsoft bekannt, dass bereits Korrekturen für die Sicherheitslücke bereitgestellt worden seien. Aber viele Unternehmen und Privatpersonen hätten diese noch nicht installiert gehabt oder nutzten ältere Betriebssysteme, die Microsoft nicht länger unterstützt und deshalb nicht reparieren kann.

AFP/AP/woz/roy