Eine weltweite Cyberattacke hat in tausenden Behörden, Unternehmen und bei Einzelpersonen erhebliche Schäden angerichtet. Die erpresserische Schadsoftware legte seit Freitagabend in Großbritannien zahlreiche Kliniken lahm, betroffen waren auch die Deutsche Bahn, der Automobilkonzern Renault, der Telefon-Riese Telefónica und das russische Innenministerium sowie weitere Großunternehmen. Die europäische Polizeibehörde Europol sprach von einer "beispiellosen" Cyberattacke. Das Bundeskriminalamt (BKA) nahm Ermittlungen auf.
Zehntausende Computer in dutzenden Ländern wurden Opfer der erpresserischen Schadsoftware unter dem Namen WannaCry, die sich stündlich millionenfach weiter verbreitete. Das britische Gesundheitssystem (NHS), weltweit fünftgrößter Arbeitgeber, Russland und Indien waren offenbar besonders schwer betroffen.
Die Angreifer setzten im Betriebssystem Windows eine Schadsoftware ein, die Computerdaten verschlüsselt und nur gegen Lösegeld wieder freigibt. Der Chef-Experte der in Helsinki ansässigen Cyber-Sicherheitsfirma F-Secure, Mikko Hypponen, sprach vom "größten Schadsoftware-Ausbruch in der Geschichte" mit rund 130.000 betroffenen Systemen in mehr als hundert Ländern.
In Deutschland wurden Computer der Deutschen Bahn und des Logistikkonzerns Schenker erfasst. "Sicherheitsrelevante Systeme waren nicht betroffen", sagte Bahnchef Richard Lutz der "Bild am Sonntag". Die Sicherheit des Bahnverkehrs sei "zu jedem Zeitpunkt gewährleistet" gewesen.
"Die Regierungsnetze sind von dem Angriff nicht betroffen", teilte Bundesinnenminister Thomas de Maizière (CDU) am Samstag mit. Der "hochprofessionelle Schutz" durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sich ausgezahlt. Das Bundeskriminalamt (BKA) habe die strafrechtlichen Ermittlungen zu der Cyberattacke übernommen. De Maizière sprach von "erheblichen Cyber-Sicherheitsvorfällen".
Erste Hinweise auf den Cyberangriff waren am Freitag vor allem aus Großbritannien gekommen. Die britische Innenministerin Amber Rudd sagte am Samstag der BBC, dass "etwa 45 Einrichtungen" des Gesundheitssystems betroffen seien. Mehrere von ihnen hätten medizinische Eingriffe verschieben müssen. Nach den Worten von Premierministerin Theresa May blieben Patientendaten von dem Angriff offenbar aber unberührt.
Im Internet kursierten Aufnahmen von NHS-Computerbildschirmen mit der Botschaft "Ups, deine Daten wurden verschlüsselt". Es folgte eine fristgebundene Lösegeldforderung in Höhe von 300 Dollar (275 Euro), zahlbar in der Internet-Währung Bitcoin.
In Frankreich stoppte der Autobauer Renault die Produktion an mehreren Standorten. Ein Sprecher des Unternehmens sagte, die Entscheidung sei Teil der Schutzmaßnahmen, mit der einer Verbreitung des Virus vorgebeugt werden solle. Die französische Staatsanwaltschaft leitete Ermittlungen ein.
Die russische Zentralbank meldete eine Attacke auf das Bankensystem des Landes. Auch mehrere Ministerien waren betroffen, ebenso gab es Attacken auf die russische Bahn. Auch der US-Logistikkonzern Fedex war betroffen, weitere Fälle wurden aus Australien, Spanien, Belgien, Italien sowie Mexiko und Slowenien gemeldet.
Die G7-Finanzminister berieten in Bari Möglichkeiten einer verstärkten Zusammenarbeit beim Kampf gegen Cyber-Kriminalität. Die Hacker nutzten offenbar eine Sicherheitslücke, die vom US-Auslandsgeheimdienst NSA entdeckt worden war - sie wurde in illegal weiterverbreiteten NSA-Dokumenten beschrieben. Laut der IT-Sicherheitsfirma Kaspersky wurden diese Informationen im April von einer Hackergruppe namens "Shadow Brokers" veröffentlicht, die behauptete, die Lücke durch den NSA entdeckt zu haben.
Microsoft hatte im März einen Software-Patch herausgegeben, der den Mechanismus der Weiterverbreitung der Schadsoftware verhindert. Den Experten zufolge wurde der Patch auf vielen Computern aber noch nicht installiert. Unter anderem das Bundesamt für Sicherheit in der Informationstechnik riet nun dringend zum Aufspielen dieses Sicherheitspatches.
Lance Cottrell von der US-Technologiefirma Ntrepid sagte, dass sich dieser Erpresser-Virus von einem Computer zum anderen ausbreiten kann, ohne dass eine E-Mail geöffnet oder ein Link angeklickt wird. Ein IT-Sicherheitsexperte von der Plattform MalwareTechBlog teilte über Twitter mit, die weitere Verbreitung der Schadsoftware zufällig gestoppt zu haben - durch die Registrierung eines von WannaCry genutzten Domain-Namens. Damit sei die Krise aber nicht vorbei, weil die Angreifer das Virus ändern könnten.
jah/cp