HOME

"Im Vergleich zu Wannacry ist das eine Atombombe"

Als der Erpressungs-Trojaner Wannacry durch das Internet wütete, galt das als größte Cyber-Attacke aller Zeiten. Jetzt hat ein Experte eine noch viel schlimmere entdeckt und warnt: "Man kann sie nicht erwischen - und es passiert direkt vor unserer Nase."

Wannacry Hacker Trojaner Attacke

Der Trojaner Wannacry versetzte die Welt in Angst und Schrecken - jetzt könnte es noch schlimmer werden.

Es war wie eine Computer-Epidemie: Innerhalb eines Tages verbreitete sich der Erpressung-Trojaner Wannacry auf über 200.000 Windows-Rechner auf dem ganzen Globus und erpresste die Besitzer. Nur durch Zufall konnte er gestoppt werden. Die Täter nutzen ein im Netz aufgetauchtes NSA-Wekzeug für den Angriff. Davon gibt es noch mehr - und sie werden wohl für eine noch viel größere Attacke genutzt.

"Die Welt macht sich wegen Wannacry verrückt, aber im Vergleich zu Wannacry ist das hier eine Atombombe",  warnt der Sicherheits-Experte Golan Ben-Oni in einem Artikel der "New York Times". Zeitgleich mit Wannacry entdeckte er einen viel drastischeren Angriff auf die Server seines Arbeitgebers, dem Internet-Bezahldienst IDT. Seitdem ist er auf Ochsentour, um die Welt vor der gigantischen Bedrohung zu warnen.

NSA-Werkzeuge als Waffe

Auch sie beruht auf den NSA-Werkzeugen, die eine Gruppe namens "Shadow Broker" im April ins Internet stellten. Die Attacke basierte auf der gleichen Sicherheitslücke wie - nutzt sie aber nur als Einfalltor für die echte Attacke. Für die wird ein zweites NSA-Tool namens "DoublePulsar" benutzt. Und das ist um Längen gefährlicher.

Während sich Wannacry auf Ebene des Betriebssystems bewegt und deshalb von Antivirensoftware erwischt werden kann, geht "Doublepulsar" eine Ebene höher. Es schleicht sich direkt in die Schnittstelle zwischen Soft- und Hardware ein, dem sogenannten Kernel. Hier kann es schalten und walten, wie es möchte - und ist für Antivirenprogramme und andere Schutzmaßnahmen nicht zu entdecken. Zudem kann die Lücke auch von Dritten genutzt werden, wenn sie einmal installiert ist.

Zufallsfund

Im Falle von IDT stahlen die Angreifer etwa Unmengen von Einlog-Daten der Mitarbeiter. So konnten sie direkt auf die anderen System zugreifen und immer mehr infizieren. Ben-Oni selbst stolperte nur durch Zufall über den Angriff. Eine externe Mitarbeiterin hatte sich gemeldet, weil IDT-Daten auf ihrem Rechner verschlüsselt worden waren. 

Ben-Oni kam die Angriffszeit etwa eine knappe Stunde vor dem Wochends-Feierabend am Freitag merkwürdig vor. Zudem war der Firmenzugang durch das Privatmodem befallen worden. Als er sich den Fall ansah, entdeckte er, dass die Erpressung nur eine Vertuschungsmaßnahme für den echten Angriff auf die Firma war.

Zehntausende Firmen betroffen

Seitdem hat der Experte mit 107 Sicherheitsexperten der wichtigsten Unternehmen gesprochen,  von Google bis Microsoft. Nur Amazon hatte ebenfalls den Angriff bemerkt. Selbst Antiviren-Hersteller wie McAfee wussten von nicht. Scans nach dem Einfalltor deuten darauf hin, dass Zehntausende Firmen von der Attacke betroffen sind und es immer noch nicht entdeckt haben. "Man kann sie nicht erwischen - und es passiert direkt vor unserer Nase."

Wer hinter dem Angriff steckt, ist völlig offen. Die Werkzeuge sind im Netz frei verfügbar, theoretisch könnte jeder Hackergruppe dahinterstecken. Als Motive sind von Industriespionage über Erpressung bis zum tatsächlichen Cyberkrieg alles denkbar. Immerhin hängen auch Infrastruktur-kritische Unternehmen wie Krankenhäuser und Stromwerke am Internet, warnt Ben-Oni.

FBI ist mit Wannacry beschäftigt

Das FBI kann sich aktuell nicht mit dem Fall befassen, sagte man Ben-Oni. Die US-Bundespolizei hatte sich Ben-Onis Fall angesehen. Da man sich aber voll auf Wannacry konzentriere und es hier um einen anderen Fall handle, könne man ihm nicht helfen.

Die Lage könnte noch schlimmer werden. Die Shadow Broker haben bereits angekündigt, weitere NSA-Werkzeuge verkaufen zu wollen. Die Angriffsprogramme des US-Geheimdienstes gelten als fortgeschrittenste Cyberwaffen der Welt. Die Kriminellen bieten den Zugang zu den Waffen als Flatrate an - im monatlichen Abo. "Man muss verstehen - das ist wirklich ein Krieg", erklärt Ben-Oni. Für ihn geht es deshalb um alles: "Ich sehe es als lebensbedrohliche Situation. Heute werden wir angegriffen - morgen könnte es jemand anders sein."

Stern Logo Das könnte Sie auch interessieren

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.