Sendungsbild

Britischer "WannaCry"-Held 22-Jähriger stoppte Virus im Urlaub

Stand: 15.05.2017 15:20 Uhr

Warum breitet sich der "WannaCry"-Virus nicht weiter in der Welt aus? Wie es aussieht, ist das allein einem 22-jährigen Briten zu verdanken. Der entdeckte offenbar mitten im Urlaub eher zufällig die "Notbremse" für die Schadsoftware. Nun wird er gefeiert.

Von Thomas Spickhofen, ARD-Studio London

Er nennt sich "MalwareTech", soll 22 Jahre alt sein, und das Foto, das britische Zeitungen dazu heute veröffentlichen, zeigt einen jungen Mann mit dunklen lockigen Haaren und einem freundlichen Lächeln. Er wird als Held gefeiert, weil er die Schadsoftware "WannaCry" gestoppt haben soll, die weltweit 200.000 Rechner infizierte. Dabei sei eigentlich alles nur Zufall gewesen, sagt der Umjubelte selbst in der BBC.

Er habe sich im Urlaub befunden, aber als er am Freitag von dem Problem gehört habe, habe er gemeinsam mit anderen den Rechner angeworfen. Dabei entdeckten die Computer-Kenner im Quellcode der Schadsoftware eine Domain. "Wir haben die Domain registriert, um den Virus verfolgen zu können, aber später stellte sich dann heraus, dass durch diese Anmeldung die Ausbreitung der Software gestoppt wurde."

MalwareTech @MalwareTechBlog
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.

So funktioniert die "Notbremse"

Wie kann das sein? Offenbar schickte die Schadsoftware jedes Mal, wenn sie in Aktion trat, eine digitale Anfrage an eben jene Domain. Da diese nicht registriert war, bekam die Schadsoftware eine negative Rückmeldung auf ihre Anfrage. Daraufhin breitete sie sich weiter aus. In dem Moment, als die Domain registriert wurde, gab es keine negative Rückmeldung mehr - und das massenhafte Ausbreiten wurde gestoppt.

Diese "Notbremse" hätten die Entwickler wohl für sich selbst eingebaut, mutmaßt der unbekannte Held. Er glaube nicht, dass es von den Entwicklern beabsichtigt gewesen sei, dass jemand von außen diese Notbremse ziehe.

Größter Cyberangriff aller Zeiten
ARD-Mittagsmagazin, 15.05.2017, Barbara Jung, NDR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Kommt nächste Attacke schon bald?

Es sei sehr wichtig, dass die Leute jetzt ihre Computer schützen, denn sie hätten zwar jetzt diesen Virus gestoppt, aber der nächste werde kommen, und den werde man dann nicht anhalten können, sagt der anonyme Anti-Virus-Held "MalwareTech". Und das könne schon bald der Fall sein. Es sei da einfach viel Geld im Spiel, es gebe keinen Grund, aufzuhören, und eine Änderung des Codes sei kein großer Aufwand.

"MalwareTech" möchte anonym bleiben - nicht weil er um seine Sicherheit fürchtet, wie er betont, sondern weil er nicht wolle, dass es pausenlos an seiner Haustür schellt. Sein Chef hat ihm jetzt noch eine Woche Urlaub gegeben,  weil er an diesem hektischen Wochenende keine Minute geschlafen habe.

Gesundheitssystem in der Kritik

Unterdessen läuft der Betrieb in den britischen Praxen und Kliniken nach Angaben des nationalen Gesundheitsdienstes NHS wieder weitgehend normal. Es sei nur noch eine sehr kleine Anzahl von Einrichtungen betroffen, heißt es. Der allgemeine Rat sei, zu den geplanten Terminen zu gehen, solange man nicht ausdrücklich darum gebeten werde, dies nicht zu tun.

Medienberichten zufolge werden allerdings weiterhin in einigen Krankenhäusern Operationstermine ausgesetzt. In Blackpool wurden die Patienten gebeten, nur in lebensbedrohenden Fällen die Notfallaufnahme aufzusuchen. Zugleich wächst in Großbritannien die Kritik an veralteten IT-Standards im Gesundheitssystem.

Das Gesundheitsministerium wurde einem Zeitungsbericht zufolge bereits im Sommer vergangenen Jahres von IT-Experten darüber informiert, dass der NHS ganz besonders von Cyber-Attacken bedroht sei.

Über dieses Thema berichtete das ARD-Mittagsmagazin am 15. Mai 2017 um 13:25 Uhr.

Darstellung: