Mann in Rechenzentrum  | Bildquelle: AFP

Cyberangriff "WannaCry" Spur führt nach Nordkorea

Stand: 16.05.2017 13:19 Uhr

Nach der weltweiten Cyberattacke gibt es IT-Sicherheitsfirmen zufolge eine Spur nach Nordkorea: Demnach ist der "WannaCry"-Code dem Hacker-Code einer nordkoreanischen Gruppe ähnlich.

Internet-Sicherheitsfirmen haben Ähnlichkeiten zwischen dem Cyberprogramm "WannaCry" und Hacker-Codes gefunden, die von der nordkoreanischen Gruppe Lazarus genutzt wurden. So stellte Google-Informatiker Neel Metha Codes online, die bestimmte Ähnlichkeiten zwischen dem Virus "WannaCry" und einer Nordkorea zugeordneten früheren Serie von Cyberattacken aufzeigen. Die russische Firma Kaspersky Lab berichtete, in Teilen der Schadsoftware seien eben solche Codes verwendet worden, mit dem das Hackerkollektiv arbeitete.

Lazarus wird für den Cyberangriff im Jahr 2014 auf Sony verantwortlich gemacht - voreilige Schlüsse sollten aber nicht gezogen werden, betonten die Firmen. Kaspersky erklärte, es sei auch möglich, dass der Code einfach von der Lazarus-Schadsoftware kopiert worden sei und es keine direkte Verbindung gebe. Weitere Nachforschungen könnten entscheidend sein, um die möglichen Zusammenhänge nachzuvollziehen, teilte das Unternehmen mit. Auch die Sicherheitsfirma Symantec erklärte, Ähnlichkeiten zwischen "WannaCry" und Lazarus-Instrumenten gefunden zu haben. Der Fund sei zwar interessant, aber bisher nur "schwach" nachweisbar, hieß es. Es gebe weitere Überprüfungen.

Keine neuen infizierten Rechner

Die europäische Polizeibehörde Europol gab im Hinblick auf den Cyberangriff selbst inzwischen vorsichtig Entwarnung. Es habe in Europa offenbar keine neuen infizierten Computer gegeben, teilte ein Sprecher der Nachrichtenagentur dpa mit. Europol hatte vor einem Chaos zum Wochenbeginn gewarnt, wenn viele Nutzer nach zwei freien Tagen ihren Computer wieder einschalteten. "Dazu kam es zum Glück nicht", so die Behörde.

Auch die Bundesregierung erklärte, der Cyberangriff sei im Wesentlichen gestoppt. Die Befürchtungen einer zweiten Angriffswelle hätten sich bislang nicht bestätigt. In Deutschland ist das Bundeskriminalamt mit der Aufklärung beschäftigt.

Ein britischer IT-Forscher hatte die globalen Angriffe am Wochenende durch einen glücklichen Zufall gestoppt. Der 22-Jährige, der als Held gefeiert wurde, widersprach in seinem Blog "MalwareTech" britischen Medienberichten, wonach er nun um sein Leben fürchten müsse.

Die Erpressungssoftware "WannaCry" hatte am Freitag nach Angaben von Europol mindestens 150 Länder sowie 200.000 Organisationen und Personen getroffen. "WannaCry" hatte auf den infizierten Rechnern alle Daten verschlüsselt. Sie sollten erst nach Zahlung eines Lösegelds wieder entsperrt werden. Europol warnte davor, auf die Forderungen einzugehen, da es keine Garantie auf die Freigabe der Daten gebe.

450 Bahn-Rechner betroffen

Von der Attacke waren nach Angaben der Berliner Staatsanwaltschaft auch 450 Rechner der Deutschen Bahn betroffen. Zahlreiche digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen waren deshalb ausgefallen. Die Reparatur der Anzeigen sollte laut Bahn mehrere Tage dauern. Auch die Technik zur Videoüberwachung war laut Bundesinnenministerium betroffen. Auch zahlreiche andere Unternehmen waren attackiert worden. In Frankreich war unter anderem eine der Fabriken des Autoherstellers Renault betroffen.

"Der Angriff soll ein Weckruf sein"

Bei der Attacke am Freitag nutzte die Software eine Sicherheitslücke im Microsoft-Betriebssystem Windows aus, über die sie automatisch neue Computer anstecken konnte. Diese Schwachstelle hatte sich einst der US-Geheimdienst NSA für seine Überwachung aufgehoben, dann hatten unbekannte Hacker sie aber publik gemacht.

Microsoft gab den Regierungen eine Mitschuld. Der Angriff sei ein weiteres Beispiel, warum das Lagern von Schadprogrammen durch Regierungen ein Problem sei, schrieb Microsoft-Präsident Brad Smith in einem Blog-Eintrag. Der Angriff solle ein Weckruf sein. Ein vergleichbares Szenario mit konventionellen Waffen wäre, wenn dem US-Militär einige seiner "Tomahawk"-Marschflugkörper gestohlen würden.

Über dieses Thema berichtete Inforadio am 16. Mai 2017 um 06:02 Uhr

Darstellung: