London. Nach dem Cyberangriff auf Unternehmen und Institutionen in aller Welt hat die schwierige Suche nach den Hintermännern begonnen. IT-Experten warnten davor, dass möglicherweise noch weit verheerendere Attacken bevor stehen könnten. Der größte jemals bekannt gewordene Angriff mit sogenannter Ransomware betraf Unternehmen und Institutionen in mehr als 70 Ländern. Viele weitere entgingen der Attacke, weil es einem jungen IT-Wissenschaftler gelang, eine eingebaute Notbremse in der Malware zu aktivieren.

Wenn die eigenen Daten zu Geiseln werden

Bei einer Ransomware-Attacke bemächtigt sich schädliche Software eines Computers und hält die darauf gespeicherten Daten gewissermaßen in Geiselhaft. Der Nutzer wird über eine Nachricht auf dem Bildschirm aufgefordert, Lösegeld (ransom) zu zahlen, damit er wieder auf den Rechner zugreifen kann. Wollen Einzelpersonen oder Unternehmen nicht zahlen, bleibt ihnen nur die Möglichkeit, ihre Daten aus Backups wieder herzustellen oder sie verloren zu geben.

Besonders betroffen war der britische Gesundheitsdienst NHS. Von dessen 248 Einrichtungen seien 48 infiziert worden, sagte Innenministerin Amber Rudd am Sonnabend nach einer Krisensitzung der Regierung in London. Bei allen bis auf sechs seien aber die Computersysteme mittlerweile wieder hergestellt. IT-Experten arbeiteten rund um die Uhr daran, auch diese zu retten.

Die Einheit für Cyberkriminalität bei Europol erklärte, es habe sich um einen Angriff in einem bisher noch nie da gewesenen Ausmaß gehandelt. „Es wird einer komplexen internationalen Untersuchung bedürfen, um die Schuldigen zu identifizieren“, hieß es in einer Erklärung.

War das nur ein Warnsignal?

Möglicherweise sei die Attacke aber nur ein Vorgeschmack gewesen, warnte der Cybersicherheits-Experte Ori Eisen. Immerhin seien die Lösegeld-Forderungen auch sehr gering gewesen. „Das war noch nichts Ernsthaftes. Was wenn das Gleiche bei zehn Atomkraftwerken passiert und sie den ganzen Strom abstellen müssen? Was wenn das Gleiche bei einem Damm oder einer Brücke passiert?“, sagte er der Nachrichtenagentur AP. „Heute ist es bei 10.0000 Computern passiert. Es gibt keine Hürde, dass es morgen bei 100 Millionen Computern passiert.“

Sicherheitsrisiko Microsoft

Die Schadsoftware nutzte eine bereits bekannte Sicherheitslücke von Microsoft Windows, für die es auch bereits ein Update gibt. Dieses wurde aber bei den betroffenen Rechnern offenbar noch nicht installiert, weil einige noch Windows XP benutzen und deshalb dafür zahlen müssten. Die Malware gelangt über E-Mail-Anhänge in die Systeme und breitet sich rasend schnell aus, wenn Nutzer drauf klicken. Windows kündigte an, in Zukunft Sicherheitsupdates auch für ältere Windows-Versionen gratis anzubieten.

Hilfe bei der Eindämmung der Malware kam von einem 22-jährigen IT-Forscher, der einen sogenannten Kill Switch in dem Programm aktivieren konnte. Das tat er, indem er eine Internet-Domain registrierte, auf die das Programm immer wieder zugriff. Offenbar hatten die Hintermänner diese Notbremse eingebaut, um den Virus selbst stoppen zu können. Bereits infizierte Rechner konnten dadurch aber nicht gerettet werden. Auch der 22-Jährige warnte, dass nach einer simplen Änderung des Codes eine neue Cyberattacke folgen könnte.

Am schlimmsten soll es Russland getroffen haben

Die Virus-Experten von Kaspersky Lab and Avast erklärten, dass Russland am schwersten betroffen war. Das russische Innenministerium bestätigte die Ransomware-Attacken, eine Sprecherin sagte der Nachrichtenagentur Interfax, das Problem sei lokalisiert worden und keine Daten seien nach außen gelangt. Russland wurde in der Vergangenheit selbst für eine Reihe von Hackerattacken verantwortlich gemacht.

Von RND/AP