In mehreren großen Krankenhäuser im Vereinigten Königreich mussten Operationen verschoben werden, während IT-Experten versuchten, die Kontrolle über das Computernetzwerk des National Health Service zurückzuerlangen; Renault in Frankreich schickte 3 500 Mitarbeiter einer wichtigen Fabrik nach Hause und betrieb Schadensbegrenzung; und allein in China wurden weitere 30 000 Computer infiziert, als der Cyberangriff am Montag, den 15. Mai fortgesetzt wurde.
Der Angriff, der am Freitag die ersten Computer traf, richtete mit Beginn der nächsten Arbeitswoche am darauffolgenden Montag weitere Schäden an. Während Techniker auf der ganzen Welt noch unter Hochdruck an der Sicherung ihres Netzwerks arbeiteten, wurde bereits nach Schuldigen gesucht. Der Angriff betraf Betriebssysteme von Microsoft, und das Unternehmen warf der US-Behörde National Security Agency (NSA) die Entwicklung eines Exploits vor, der diesen Angriff erst ermöglichte.
Eine Brechstange für Computersysteme – einen unbedenklichen Exploit gibt es nicht
Die USA sollen den Exploit „EternalBlue“ entwickelt haben, um Zugriff auf Computer zu erhalten, auf denen das Microsoft-Betriebssystem Windows ausgeführt wird. Es wird vermutet, dass dieses Tool – das von einem Sicherheitsexperten mit einer Brechstange verglichen wurde – über ein Leak ins Internet gelangte. So fiel es Cyberkriminellen in die Hände, die damit anfällige Computer auf der ganzen Welt angriffen und sperrten. Von ihren Opfern verlangten sie anschließend, ihre Daten mit Bitcoins (einer virtuellen Online-Währung) im Wert von 300 US-Dollar freizukaufen.
In einem Interview der britischen Tageszeitung
Daily Telegraph sagte Sean Sullivan, Sicherheitsberater des Cybersicherheitsunternehmens F-Secure: „Die Hacker-Gruppierung The Shadow Brokers erhielt Zugriff auf die NSA-Tools, die eine Schwachstelle in den Betriebssystemen von Microsoft offenlegten – sie enthielten Anweisungen, wie man sich Zugriff verschaffen kann. Bildlich gesprochen ist der Exploit eine Brechstange, mit der sie eine Tür öffnen, und die Ransomware eine Handgranate, die Sie anschließend hindurchwerfen.“
Installieren Sie wenn möglich immer die neuesten Sicherheitsupdates
Zwar ist noch unklar, welche Verkettung von Ereignissen zu diesem weltweiten Hackerangriff führte, bekannt ist jedoch, dass die NSA Microsoft warnte, dass das Hacking-Tool gestohlen wurde, und dass das Softwareunternehmen im März einen Patch veröffentlichte. Doch Betriebssysteme, die im Jahr 2009 oder früher veröffentlicht wurden, wie etwa das noch immer viel genutzte Windows XP, erhielten dieses Update nicht. Zudem installierten viele Benutzer das Update nicht, selbst wenn es ihnen zur Verfügung stand. Laut Experten für Cybersicherheit konnte sich die Schadware über Computer verbreiten, auf denen ungepatchte Versionen von Microsoft Windows ausgeführt wurden. Sie raten Benutzern dringend, ihren Computer ausschließlich im abgesicherten Modus zu nutzen, bis sie sichergestellt haben, dass das Update, mit dem die Ransomware blockiert wird, installiert ist.
Ein Experte für IT-Sicherheit, der auf Twitter nur als MalwareTech bekannt ist, konnte die Ausbreitung der Schadware zumindest vorübergehend unterbinden, indem er einen
digitalen „Notschalter“ aktivierte. Der 22-jährige Forscher aus dem Südwesten Englands, der bei Kryptos logic angestellt ist, einem IT-Sicherheitsunternehmen mit Sitz in Los Angeles, wurde von Steven Wilson gelobt, dem Leiter des Zentrums für Cyberkriminalität von Europol. „Er hat erheblich dazu beigetragen, die Ausbreitung dieser Schadware zu verlangsamen“, erklärte Wilson. MalwareTech twitterte, dass Hacker den Virus verbessern könnten: „Version 1 von WannaCrypt konnte aufgehalten werden, doch in Version 2.0 wird diese Schwachstelle wahrscheinlich behoben sein. Ihr seid nur sicher, wenn ihr so bald wie möglich den Patch installiert.“
Microsoft veröffentlichte am Freitag ausnahmsweise auch für ältere Windows-Versionen ein Update, das nun auch Systeme unter Windows XP schützt, dessen Support im Jahr 2014 eingestellt wurde. Dieser Patch wird, wenn er heruntergeladen und installiert wird, die Benutzer der etwa 70 Millionen Computer absichern, die noch immer unter Windows XP laufen. Das Update ist auch mit Windows 8 und Windows Server 2003 kompatibel.
Ein weltweites Problem und ein Weckruf
Den Sicherheitsforschern der Gruppe Malware Hunter Team zufolge habe sich die Ransomware bis Freitagabend in die USA und nach Südamerika ausgebreitet, Europa und Russland seien jedoch am stärksten betroffen gewesen. Das russische Innenministerium ließ verlauten, dass 1 000 Computer infiziert worden seien. Sicherheitsforscher von Kaspersky Lab haben mehr als 45 000 Angriffe in 74 Ländern registriert, darunter das Vereinigte Königreich, Russland, die Ukraine, Indien, China, Italien und Ägypten. In Spanien waren große Unternehmen betroffen, beispielsweise das Telekommunikationsunternehmen Telefónica.
Microsoft hat nun Regierungen dazu aufgerufen, diese Angriffe als einen Weckruf anzusehen. Der Präsident und Chief Legal Officer des Unternehmens Brad Smith schrieb: „Von der CIA gespeicherte Informationen zu Schwachstellen sind schon in früheren Fällen auf WikiLeaks veröffentlicht worden, und jetzt waren Kunden auf der ganzen Welt davon betroffen, dass Informationen zu dieser Schwachstelle von der NSA gestohlen wurden.“ Smith sagte der BBC außerdem: „Cyberkriminelle werden immer raffinierter – Kunden können sich vor Bedrohungen nur schützen, indem sie ihr System aktualisieren.“
Die Reaktion der EU auf weltweite Cyberbedrohungen
Die EU investiert stark in Forschungen in Bezug auf Cybersicherheit: Unter dem RP7 wurden zwischen 2007 und 2013 zu diesem Zweck Geldmittel in Höhe von 334 Millionen EUR vergeben. Weitere 160 Millionen EUR wurden in der ersten Welle von Horizont 2020 verteilt, und 450 Millionen EUR sollen im Rahmen der
vertraglichen öffentlich-privaten Partnerschaft für Cybersicherheit für den Zeitraum 2017–2020 zugesprochen werden.
Nähere Informationen zu EU-finanzierten Projekten im Bereich der Cybersicherheit erhalten Sie in unserem umfassenden Results Pack
Den Cyberspace sichern: Konkrete Ergebnisse durch EU-Forschung und Innovation.