Erpressung mit Schadsoftware: Am 12. Mai 2017 startete der WannaCry-Cyberangriff

Der Cyberangriff mit der Schadsoftware WannaCry war einer der bislang größten und bekanntesten seiner Art. Ein US-Geheimdienst wusste um die Sicherheitslücke, wies aber erst spät darauf hin. Der Vorfall verdeutlichte die Anfälligkeit von IT-Strukturen und die Notwendigkeit präventiver Sicherheitsmaßnahmen. 

Was passierte beim WannaCry-Cyberangriff?

Der Angriff begann am 12. Mai 2017. WannaCry war eine sogenannte Ransomware, also eine Schadsoftware, die Computer infiziert. Sie nutzte dabei eine Sicherheitslücke im Windows-Betriebssystem, die als „EternalBlue“ bekannt ist. Diese Sicherheitslücke war bereits lange bekannt – allerdings nicht bei Microsoft.

Der US-Geheimdienst NSA setzte sie seit Jahren ein, um auf fremde Computer zuzugreifen. Microsoft wurde erst informiert, als die NSA feststellte, dass das Wissen um die Sicherheitslücke gestohlen worden war. Eine Hackergruppe namens Shadow Brokers machte diese dann öffentlich.

Sobald ein Rechner von dem Schadprogramm befallen war, suchte dieses über angeschlossene lokale Netzwerke nach weiteren ungeschützten Rechnern, um diese zu infizieren. Über das Senden von IP-Anfragen via Internet wurden zudem noch mehr ungeschützte Rechner erreicht. 

Auf dem infizierten Computer verschlüsselte WannaCry Dateien des Nutzers, wie Dokumente, Bilder und andere Daten, die dann für den Nutzer nicht mehr zugänglich waren. Nach der Verschlüsselung zeigte die Schadsoftware eine Nachricht an, in der Lösegeld in Bitcoin gefordert wurde, um die Dateien wieder freizugeben. Zudem drohten die Täter damit, die Daten dauerhaft zu löschen, wenn das Lösegeld nicht innerhalb einer bestimmten Frist geliefert werde.

Wer war von dem Cyberangriff betroffen?

Die Dimensionen des Cyberangriffs übertrafen alles bekannte. In 150 Ländern wurden fast 300.000 Computer befallen. Betroffen waren weltweit Tausende von Organisationen, darunter Krankenhäuser, Unternehmen, Behörden und Universitäten. Besonders im Gesundheitswesen führte WannaCry zu erheblichen Störungen, da wichtige medizinische Geräte und Patientendaten betroffen waren. In Deutschland waren unter anderem über 450 Computer der Deutschen Bahn befallen, wodurch das Anzeigensystem an zahlreichen Bahnhöfen ausfiel.

Microsoft hatte zwar nach Bekanntwerden der Sicherheitslücke bereits im März 2017 ein Sicherheitsupdate veröffentlicht, allerdings konnte dies nur von neueren Microsoft-Versionen ausgeführt werden. Auch Institutionen mit neueren Betriebssystemen hatten das Update oft nicht installiert, da man das Risiko scheute, dass ehemals funktionierende Anwendungen aufgrund der Änderungen nicht mehr funktionieren, ein Vierundzwanzig-Stunden-Betrieb aufrechterhalten werden musste oder simpel aus Personal- und Zeitmangel. 

Der Angriff wurde schließlich durch internationale Ermittlungen gestoppt. Die USA und Großbritannien beschuldigten Nordkorea, den Auftrag zur Cyberattacke gegeben zu haben. WannaCry hat deutlich gemacht, wie gefährlich Cyberangriffe insbesondere für öffentliche Infrastrukturen sein können. Erneut zeigte sich hier eindrücklich, wie wichtig regelmäßige Updates und Sicherheitsmaßnahmen, etwa der Einsatz von Antiviren-Softwaren und Datenbackups, sind. Der geschätzte Gesamtschaden betrug Hunderte Millionen bis Milliarden US-Dollar.

Auf der Internetpräsenz des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es zahlreiche Tipps, wie man sich von Cyberkriminalität schützen und wie man gegen einen Virusbefall vorgehen kann.

---

Bilder: Screenshot: 황승환, CC BY-SA 4.0, via Wikimedia Commons | Karte: Roke, CC BY-SA 3.0, via Wikimedia Commons