Was ist passiert?
Eine gross angelegte Cyber-Attacke hat rund 200'000 Computer in mehr als 100 Ländern auf der ganzen Welt lahmgelegt – mit Hilfe einer Erpresser-Software (Ransomware). Es ist laut Experten der grösste derartige Angriff aller Zeiten. Die europäische Polizeibehörde Europol spricht von einem «beispiellosen» Cyber-Angriff.
Los ging es am Freitag in Europa, später kamen die USA und Russland dazu. In Asien machte sich der Virus weniger bemerkbar. Die chinesische Nachrichtenagentur Xinhua meldete allerdings, in einigen Schulen und Universitäten seien Computer infiziert.
Gab es auch Opfer in der Schweiz?
Ja. Max Klaus von der Melde- und Analysestelle Informationssicherung (Melani) sagt zum «SonntagsBlick»: «Wir haben einzelne Meldungen von Privatpersonen und Firmen im KMU-Bereich erhalten.» Betreiber kritischer Infrastrukturen wie Spitäler oder Energieversorger seien nach bisherigen Erkenntnissen aber nicht darunter.
Wen traf es am schlimmsten?
In Grossbritannien mussten wegen der Störung der IT-Systeme im Gesundheitssystem NHS Rettungswagen in andere Kliniken umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt.
Mindestens 21 Spitäler berichteten von grösseren Störungen. Die Einrichtungen seien aber nicht gezielt ins Visier genommen worden, sagte Premierministerin Theresa May.
Doch auch Konzerne wie der Kurierdienst FedEX, die spanische Telefónica und Renault meldeten Attacken. Dort musste die Produktion von Autos teilweise gestoppt werden. Betroffen war auch die Deutsche Bahn, das russische Innenministerium sowie weitere Grossunternehmen.
Wer steckt hinter der Attacke?
Die Hacker-Gruppe «Shadow Brokers» hat über unbekannte Wege eine Software des US-Geheimdienstes NSA in die Hände bekommen, die eine Sicherheitslücke von Windows ausnutzt. Im April hat sie das Programm veröffentlicht.
Die Urheberschaft des Angriffs ist noch nicht geklärt. Es muss sich jedoch nicht um die «Shadow Broker» handeln, da die Schadsoftware im Internet auffindbar ist. Es dürfte sich auf jeden Fall um Kriminelle handeln, die Geld erpressen wollen.
Gesundheitseinrichtungen sind beliebte Ziele von Ransomware-Attacken: Im Februar zahlte ein Spital in Los Angeles 17'000 Dollar, um wieder Zugang zu seinen Daten zu erhalten. Im Jahr 2016 wurde gemäss FBI in den USA eine Milliarde Dollar an solchen Lösegeldern gezahlt, berichtet die «New York Times». Die Fälle haben sich im Vergleich zum Vorjahr vervierfacht.
Welche Rolle spielte die NSA?
Geheimdienste sammeln Informationen über IT-Sicherheitslücken, um ihre eigenen Spionage-Programme einzuschleusen. Doch statt die Lücken den Betroffenen zu melden, benutzten die Geheimdienste sie für eigene Zwecke. Es ist eine gängige Praxis – die jetzt unter Beschuss gerät.
Linus Neumann vom Chaos Computer Club (CCC) sagt zu heute.de: ««Die Sicherheitslücke, über die die Rechner infiziert werden, stammt aus dem Giftschrank der NSA.» Der Geheimdienst habe versucht, sie geheimzuhalten, um sie selbst ausnutzen zu können.
Der Whistleblower Edward Snowden schreibt sich auf Twitter: «Wenn die NSA die Sicherheitslücke offengelegt hätte, als sie sie gefunden haben, und nicht, nachdem sie sie verloren haben, dann wäre das vielleicht nie passiert.»
Wie steht es mit dem Schweizer Geheimdienst?
Ab 1. September erhält auch der Nachrichtendienst des Bundes die Möglichkeit, Schnüffelsoftware einzusetzen. Dann tritt das neue Nachrichtendienstgesetz in Kraft.
Grünen-Nationalrat Balthasar Glättli fordert im «SonntagsBlick» Korrekturen: «Diese Cyber-Attacke zeigt, dass der Einsatz von Spionage-Software durch Geheimdienste die IT-Sicherheit schwächt, statt sie zu stärken.»
Was ist «Wanna Cry»?
Die Schadsoftware hat verschiedene Namen: Die geläufigsten sind «Wanna Decryptor» oder die davon abgeleitete Form «WannaCry». Es handelt sich dabei um sogenannte Ransomware, zu deutsch Erpressungstrojaner.
Die Software kommt auf ein System, indem jemand eine infizierte Datei öffnet. Sie verbreitet sich still und rasant von Computer zu Computer – bis sie mit einem Befehl der Hacker aktiviert wird. Der Virus erwacht und informiert die Benutzer des infizierten Computers, dass all seine Dateien verschlüsselt wurden. Sie sind also nicht mehr zugänglich.
Um dies Rückgängig zu machen, muss das Opfer in diesem Fall rund 300 Franken in der Kryptowährung Bitcoin auf ein anonymes Konto überweisen. Nach ein paar Tagen steigt das Lösegeld auf 600 Franken – wenn nach sieben Tagen nicht gezahlt wird, werden die Dateien gelöscht.
Erpressungstrojaner sind nicht neu, und sie bringen Betroffene in echte Schwierigkeiten. Aber ein Angriff dieses Ausmasses ist selten: In England wurden Spitäler und Arztpraxen lahmgelegt. Potentiell wurden also Menschenleben gefährdet.
Wie konnte das passieren?
Windows-Betreiber Microsoft hat bereits am 14. März ein Sicherheits-Update veröffentlicht, welches ihr System vor diesem Virus schützt. Das Problem: Viele der vom aktuellen Cyber-Angriff betroffenen Unternehmen und Organisationen haben dieses bis heute nicht installiert.
Oder aber sie haben ein veraltetes System, für das Windows keine Updates mehr entwickelt – wie etwa Windows XP. In der Nacht auf Samstag machte Microsoft eine Ausnahme und veröffentlichte Sicherheits-Patches auch für alte Systeme.
Ist der Spuk jetzt vorbei?
Jein. Es sieht zwar so aus, als ob die aktuelle Welle des Virus zum erliegen gekommen ist. Zu verdanken haben wir das einem Computer-Experten, der sich auf Twitter @MalwareTechBlog nennt.
Als der 22-Jährige Brite, der anonym bleiben will, das Virus untersuchte, stiess er auf einen Domain-Namen, bestehend aus einer langen, sinnlosen Buchstabenkette. Er sah, dass die Domain noch frei war und kaufte sie für rund 11 Franken.
Kurz nach der Aktivierung der URL verbreitete sich das Virus nicht weiter. Es stellt sich heraus, dass @MalwareTechBlog zufällig den «Notschalter» aktiviert und die Schadsoftware gestoppt hat. Offenbar hatten die Angreifer vergessen, die Domain zu registrieren.
Im Guardian warnt der Retter: «Es ist nicht vorbei. Die Angreifer werden herausfinden, wie wir das Virus gestoppt haben. Dann werden sie den Code ändern und erneut angreifen.» (rey)
Beim Blick Live Quiz spielst du dienstags und donnerstags (ab 19.30 Uhr) um bis zu 1'000 Franken aus dem Jackpot. Mitmachen ist ganz einfach. Du brauchst dazu lediglich ein iPhone oder ein Android-Handy.
- Suche im App-Store (für iOS) oder im Google Play Store (für Android) nach «Blick Live Quiz».
- Lade die «Blick Live Quiz»-App kostenlos runter und registriere dich.
- Wichtig: Aktiviere die Pushnachrichten, sodass du keine Sendung verpasst.
- Jetzt kannst du dein Wissen mit anderen Usern und Userinnen messen.
Beim Blick Live Quiz spielst du dienstags und donnerstags (ab 19.30 Uhr) um bis zu 1'000 Franken aus dem Jackpot. Mitmachen ist ganz einfach. Du brauchst dazu lediglich ein iPhone oder ein Android-Handy.
- Suche im App-Store (für iOS) oder im Google Play Store (für Android) nach «Blick Live Quiz».
- Lade die «Blick Live Quiz»-App kostenlos runter und registriere dich.
- Wichtig: Aktiviere die Pushnachrichten, sodass du keine Sendung verpasst.
- Jetzt kannst du dein Wissen mit anderen Usern und Userinnen messen.