- Eine weltweite Cyber-Attacke hat am Freitag zehntausende Computer von Unternehmen, Behörden und Verbrauchern lahmgelegt.
- Die IT-Sicherheitsfirma Avast entdeckte rund 75 000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan.
- In Grossbritannien wurden Spitäler lahmgelegt, in Deutschland zeigten die Anzeigentafeln an den Bahnhöfen Fehlermeldungen.
- In der Nacht wurde die Angriffswelle gestoppt, weil ein IT-Sicherheitsforscher auf eine Art «Notausschalter» in der Schadsoftware stiess.
Die Computer waren von sogenannten Erpressungstrojanern befallen worden, die sie verschlüsselten und Lösegeld verlangten. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde.
Bei der eingesetzten Malware handelt es sich um den Typ «Wanna Cry», der auch als «Wanna Decryptor» bekannt ist. Die Schwachstelle wurde zwar bereits im März grundsätzlich von Microsoft geschlossen – aber geschützt waren nur Computer, auf denen das Update installiert wurde.
Angriff gestoppt – durch Zufall und bis auf Weiteres
Die Angreifer scheinen eine Art Notbremse in ihr Programm eingebaut zu haben – und die Attacke wurde abgewürgt, nachdem ein IT-Forscher den Mechanismus auslöste. Der Betreiber des Blogs «MalwareTech» fand nach eigenen Angaben durch Zufall einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn.
Das reichte aus, um die Ausbreitung zu stoppen. Denn das Angriffsprogramm versucht bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma Malwarebytes in einer Analyse. Ist sie aktiv, bleibt die Attacke aus.
Zugleich warnten Experten, dass die Angreifer mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen.
Urheber bisher unbekannt
Die europäischen Ermittlungsbehörde Europol bezeichnet den Angriff als von bisher «beispiellosem Ausmass». Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.
Russland angeblich am stärksten betroffen
Am Freitag hatten die Folge der Attacke weltweit für Aufsehen gesorgt. Das am stärksten betroffene Land war laut einer Moskauer IT-Sicherheitsfirma Russland. Nach Angaben der Agentur Tass wurden Computer des Gesundheits- und des Zivilschutzministeriums sowie des staatlichen Ermittlungskomitees gehackt. Im Innenministerium sollen rund 1000 Rechner betroffen gewesen sein.
Der Angriff sei jedoch grösstenteils abgewehrt worden, heisst es aus Moskau. Daten seien nicht abgeflossen. Auch die grösste russische Bank Sberbank teilt mit, sie habe Angriffe abwehren können.
Britisches Gesundheitssystem schwer beeinträchtigt
In Grossbritannien mussten wegen der Störung der IT-Systeme beim öffentlichen Gesundheitssystem NHS Rettungswagen in andere Spitäler umgeleitet werden. Zahlreiche Patienten wurden abgewiesen und Routineeingriffe abgesagt. Die Bürger wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen.
Ärzte und Pflegepersonal in Spitälern und Arztpraxen haben keinen Zugriff mehr auf ihre Computer.
«Elektronische Patientendossiers waren nicht mehr verfügbar, an verschiedenen Orten waren auch die Telefonverbindungen betroffen», sagt SRF-Korrespondent Martin Alioth. Zudem seien Operationssäle ausser Betrieb genommen worden, und es gebe keinen Zugriff mehr auf Röntgenbefunde.
Lahmgelegte Anzeigentafeln bei der Deutschen Bahn
In Deutschland erwischte es Rechner bei der Deutschen Bahn – Anzeigentafeln an den Bahnhöfen zeigten Fehlermeldungen. Der Bahnverkehr sei zwar nicht eingeschränkt, heisst es in einer Mitteilung der Bahn. Die Störungen der digitalen Anzeigentafeln könne jedoch noch bis Samstagnachmittag andauern.
