Eine Frau zeigt auf einem Laptop auf die Homepage der NHS. | Bildquelle: AFP

Weltweite Cyberattacke Zehntausende Rechner lahmgelegt

Stand: 13.05.2017 04:25 Uhr

Laut IT-Experten sind zehntausende Computer in dutzenden Ländern von einer Cyberattacke betroffen. Neben britischen Krankenhäusern melden auch große Unternehmen wie die Deutsche Bahn Angriffe. Die Ausbreitung des Virus konnte offenbar inzwischen gestoppt werden.

Ein weltweiter massiver Cyberangriff hat bei Sicherheitsexperten Alarm ausgelöst. Nach ihren Angaben wurde dabei eine sogenannte Ransomware eingesetzt - ein Erpresservirus, der Computerdaten verschlüsselt, die danach nur gegen Zahlung einer Gebühr entschlüsselt werden können. Der Experte Costin Raiu von der IT-Sicherheitsfirma Kaspersky spricht von mindestens 45.000 Attacken in mehr als 70 Ländern weltweit. Ein Vertreter der Sicherheitsfirma Avast erklärte, es habe 75.000 Attacken in 99 Ländern gegeben. Lahmgelegt wurden Computer von Unternehmen, Behörden und Verbrauchern.

Auch Systeme der Deutschen Bahn befallen

In Deutschland erwischte es Rechner der Deutschen Bahn. Wie die Bahn auf ihrer Website mitteilte, gebe es wegen "eines Trojanerangriffs im Bereich der DB Netz AG" Systemausfälle in verschiedenen Bereichen. "Zugverkehr ist weiterhin möglich", hieß es. Getroffen habe es aber auch die Technik zur Videoüberwachung, teilte ein Sprecher des Bundesinnenministeriums mit. Die Computernetze der Bundespolizei selbst waren nach Angaben des Sprechers von den Angriffen nicht betroffen. Auch für die Bundesregierung und andere Bundesbehörden sei dies zum gegenwärtigen Zeitpunkt auszuschließen, hieß es.

Zuvor waren auf Twitter Fotos aus Bahnhöfen aufgetaucht, auf denen Anzeigetafeln der Bahn mit Fehlermeldungen zu sehen waren.

Screenshot Webseite DB Netz
galerie

Die Webseite der DB Netz meldet Ausfälle durch den Cyberangriff.

"Notfallschalter" gefunden - Attacke gestoppt?

In der Nacht zu Samstag konnte der Angriff offenbar gestoppt werden, weil ein IT-Sicherheitsforscher auf eine Art "Notfallschalter" in der Schadsoftware gestoßen war. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn für wenige Dollar.

Das reichte offenbar aus, um die Ausbreitung zu stoppen. Denn das Angriffsprogramm versuche bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma in einer Analyse. Ist sie aktiv, bleibt die Attacke aus. Bereits befallenen Rechnern kann allerdings auch dieser Schritt nicht mehr helfen. Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke stoppen würde.

Zugleich warnten Experten, dass die Angreifer mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen.

Sicherheitslücke seit März bekannt

Die Hacker nutzten laut Experten für ihren Virus eine Sicherheitslücke, die offenbar vom US-Auslandsgeheimdienst NSA entdeckt worden war - sie wurde in illegal weiterverbreiteten NSA-Dokumenten beschrieben. Laut dem Unternehmen Kaspersky wurden diese Informationen im April von einer Hackergruppe namens "Shadow Brokers" veröffentlicht, die behauptete, die Lücke durch die NSA entdeckt zu haben. Microsoft hatte im März einen Software-Patch herausgegeben, der den Mechanismus der Weiterverbreitung der Schadsoftware verhindert. Experten zufolge wurde der Patch aber auf vielen Computern noch nicht aufgespielt. Das Bundesamt für Sicherheit in der Informationstechnik rät dringend zum Aufspielen dieses Sicherheitspatches. Microsoft erklärte, dass die aktualisierten Computer sicher seien.

Cyberattacke auf britische Krankenhäuser
nachtmagazin 01:00 Uhr, 12.05.2017, Jürgen Kreller, ARD London

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Britisches Gesundheitssystem massiv betroffen

Von dem Angriff waren unter anderem der spanische Telekomriese Telefonica und der Logistikdienstleister FedEx betroffen. Besonders schwer wurde der staatliche britische Gesundheitsdienst NHS geschädigt. So waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt. Insgesamt gehe es laut NHS um 16 Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden.

Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Mehrere Krebspatienten mussten offenbar ohne Chemotherapie nach Hause geschickt werden, weil ihre Daten oder Blutwerte nicht abgerufen werden konnten.

Auch russisches Innenministerium lahmgelegt

Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet.

Im Internet kursierten Bilder, auf denen angeblich die Bildschirme betroffener Rechner zu sehen waren. Darauf erscheint eine Geldforderung in der virtuellen Währung Bitcoins. Sollte der geforderte Betrag nicht innerhalb von sieben Tagen bezahlt werden, würden alle Daten gelöscht, so die Drohung.

Über dieses Thema berichtete die Tagesschau am 13. Mai 2017 um 04:27 Uhr.

Darstellung: