HOME

Erpressungs-Trojaner "Wannacry": Das müssen Sie über den Angriff wissen

In wenigen Stunden hat der Erpressungs-Trojaner Wannacry Hunderttausende Computer in fast 100 Ländern befallen - darunter PCs der Deutschen Bahn und des russischen Innenministeriums. Was steckt dahinter - und wie kann man sich schützen?

Eine Weltkarte zeigt die Verbreitung des Erpressungstrojaners Wannacry

Die Verbreitung des Erpressungstrojaners Wannacry: Laut den Viren-Experten von Kaspersky sitzen die meisten Opfer in Russland

Es ist vielleicht die sich am schnellsten verbreitende Erpressungs-Software aller Zeiten: An weniger als einem Tag hat ein neuer sich auf mindestens 100.000 Rechnern über den ganzen Globus verbreitet, selbst große Firmen und sogar das russische Innenministerium sind betroffen. Wir erklären, was man zu dem Angriff wissen muss.

Was steckt hinter der Attacke?

Es ging rasend schnell: Innerhalb weniger Stunden meldeten Dutzende Firmen auf der ganzen Welt, dass ihre Rechner lahmgelegt waren. Unter den Opfern waren 16 britische Krankenhäuser, die ihre OPs stilllegen mussten, die Deutsche Bahn, deren Anzeigemonitore befallen wurden, die spanische O2-Mutter Teléfonica und sogar das russische . Wie viele private Rechner befallen wurden, ist noch gar nicht abzusehen. 

Im Prinzip handelt es sich bei dem "Wannacry" (Willst du heulen) getauften Angriff um einen klassischen Erpressungs-Trojaner. Die befallenen wurden verschlüsselt, die Angreifer verlangen 300 Dollar (etwa 270 Euro) in der Internetwährung Bitcoin als Lösegeld. Das Besondere ist die dramatische Verbreitungs-Geschwindigkeit: Innerhalb weniger Stunden registrierten die Anbieter von Antivirensoftware Kaspersky 45.000 Angriffe, Konkurrent Avast stellte gar 75.000 Attacken auf Nutzer seiner Schutzlösung fest. Die Opfer stammten aus knapp 100 Ländern - die allermeisten aus Russland.

Eine Weltkarte zeigt die Verbreitung des Erpressungstrojaners Wannacry

Die Verbreitung des Erpressungstrojaners Wannacry: Laut den Viren-Experten von Kaspersky sitzen die meisten Opfer in Russland

Geheimdienst-Lücke als Einfalltor

Auf die Rechner gelangt Wannacry wohl über eine Windows-Lücke des NSA. Die erlaubt die Installation von Software per Fernzugriff und erklärt die schnelle Verbreitung: Wannacry kann andere Rechner direkt über das Netz infizieren und braucht keinen Umweg wie verseuchte E-Mails. Die genutzte Schwachstelle tauchte im April gemeinsam mit einer ganzen Reihe von Geheimdienst-Werkzeugen im Netz auf und wurde dann wohl zur Erpressungs-Waffe umgebaut.

Wer sind die Angreifer?

Trotz der Nutzung der NSA-Lücke deutet aktuell wenig darauf hin, dass hinter der Attacke mehr als ein klassischer Cyber-Überfall durch Kriminelle steckt. Es scheint vor allem ums Geld zu gehen. Hätten die Angreifer es tatsächlich auf die Daten der Opfer abgesehen, wären sie wohl weniger offensichtlich vorgegangen. Woher die Angreifer stammen, ist unklar. Die hohe Anzahl an russischen Opfern könnte ein Hinweis sein, muss aber nichts bedeuten. Das BKA ermittelt bereits, auch Polizei und Geheimdienste anderer betroffener Länder werden nach Spuren der Angreifer suchen.

Wie kann ich mich vor den Angriffen schützen?

Wer eine aktuelle Version von Windows benutzt, muss sich keine Sorgen über den Fernangriff machen: Microsoft hat die NSA-Schwachstelle bereits im März per Sicherheits-Update behoben. Wer Updates manuell einspielt, sollte das aber schleunigst nachholen. Besonders gefährdet sind Nutzer des uralten Windows XP: Microsoft unterstützt das System bereits seit drei Jahren nicht mehr, selbst Sicherheitslücken bleiben offen. Allgemeine Tipps für den Schutz vor Erpressungs-Trojanern finden Sie in diesem Artikel.

Muss man sich noch vor dem Angriff fürchten?

Aktuell scheint Wannacry sich nicht weiterzuverbreiten. Ein Sicherheits-Experte aus Großbritannien hat durch Zufall eine Art Selbstzerstörungs-Mechanismus der Software ausgelöst, indem er für nur 9,77 Euro eine bestimmte Webseite registrierte. Allerdings geht er davon aus, dass die Angreifer demnächst eine überarbeitete Version auf das Netz loslassen. Die Windows-Updates sollten also unbedingt trotzdem eingespielt werden.

Warum waren so viele Unternehmen betroffen?

Dass so viele Firmen dem Trojaner zum Opfer fallen, dürfte einen einfachen Grund haben: Sie hinken bei den Updates hinterher. Weil ein kleiner Fehler in einem neuen Update in Unternehmen dramatische Folgen haben kann, warten sie oft selbst mit wichtigen Updates. Auch die Kosten spielen eine Rolle. Bei den Tausenden digitalen Anzeigetafeln der Bahn würde es Unsummen kosten, sie auf den neuesten Stand zu bringen - während es dem Unternehmen kaum Vorteile verspricht. Kein Wunder also, dass auf vielen der Rechner weiter Windows XP läuft. In einem Spezial-Angebot für Unternehmen bietet Microsoft gegen Gebühr sogar noch Sicherheitsupdates für das Uralt-System. Das Update für die NSA-Lücke hat der Konzern jetzt erst wegen der Wannacry-Attacke nachgeschoben. Es kommt für manche Unternehmen wohl etwas zu spät.

Stern Logo Das könnte Sie auch interessieren

Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.