Computer-Tastatur im Dunkeln | Bildquelle: picture alliance / Silas Stein/d

Internationaler Cyberangriff Strafbehörden nehmen Ermittlungen auf

Stand: 28.06.2017 05:53 Uhr

Die gestrige Cyber-Attacke auf Firmen und Behörden mehrerer Länder zieht immer weitere Kreise. Nun gaben auch US-Konzerne an, betroffen zu sein. Unterdessen leiteten erste Behörden Ermittlungen ein - gegen Unbekannt, denn noch immer ist nicht klar, wer hinter dem Angriff steckt.

In mehreren internationalen Unternehmen ging am Dienstag auf einmal nichts mehr - die Computer streikten, die Telefone funktionierten nicht mehr. Ein Cyber-Angriff hatte ihre Systeme lahmgelegt. Die russische IT-Sicherheitsfirma Kaspersky verzeichnete nach eigenen Angaben rund 2000 Angriffe: die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien und Frankreich.

Nun gaben auch Konzerne aus den USA bekannt, von der Attacke betroffen gewesen zu sein, etwa der Pharmakonzern Merck. Um ihre Systeme wieder zum Laufen zu bringen, sollten die Firmen ein Lösegeld in der digitalen Währung Bitcoin an die Erpresser zahlen.

Europol und Frankreich ermitteln

Inzwischen haben Europol und die französischen Strafverfolgungsbehörden Ermittlungen aufgenommen. Diese richten sich bislang gegen Unbekannt, denn eine konkrete Spur zu den Tätern gibt es noch nicht.

Ersten Erkenntnissen zufolge handelte es sich bei der Schadsoftware um eine Version der bereits seit vergangenem Jahr bekannten Erpressungssoftware "Petya". Es gab auch Hinweise darauf, dass es sich um die Version "GoldenEye" handeln könnte, die seit Monaten im Netz kursiert. Kaspersky teilte hingegen mit, es dürfte sich eher nicht um eine "Petya"-Variante handeln, sondern um eine gänzlich neue Software.

Die für Internetkriminalität zuständige Polizei in der Ukraine äußerte den Verdacht, ein schädliches Software-Update hätte die Hackerattacke eventuell ermöglicht. Die Aktualisierung der Buchhaltungssoftware MEDoc habe zur Infizierung einer unbekannten Zahl von Organisationen zunächst in der Ukraine und später auch international gesorgt. Das Update sei am Dienstagvormittag erfolgt. Der MEDoc-Konzern räumte ein, ebenfalls von dem Cyberangriff betroffen zu sein.

Die rumänische Cyber-Sicherheitsfirma Bitdefender geht von einem Programm aus, das sich automatisch verbreite, ohne menschliches Zutun. Programme dieser Art werden Ransomware genannt. Mit ihnen verschlüsseln Erpresser Computer und verlangen für die Entschlüsselung Lösegeld. Wird keine Geldzahlung geleistet, werden die Daten gelöscht.

Auch Deutsche Post und Beiersdorf betroffen

Die Zahl der Firmen und Behörden, die von dem Cyberangriff betroffen waren, stieg am Dienstag lawinenartig an. In der Ukraine zählten unter anderem der staatliche ukrainische Flugzeugbauer Antonov, Banken, der staatliche Stromnetzbetreiber, der Kiewer Flughafen dazu. Auch die Deutsche Post wurde in der Ukraine attackiert. In Deutschland fielen zudem die Systeme in der Zentrale des Nivea-Herstellers Beiersdorf in Hamburg aus.

Parallelen zu "WannaCry"

Laut der IT-Sicherheitsfirma Symantec verbreitete sich der Trojaner über dieselbe Sicherheitslücke in älterer Windows-Software wie auch "WannaCry". Die Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt und wurde im vergangenen Jahr von Hackern öffentlich gemacht. Es gibt zwar schon seit Monaten ein Update, das sie schließt - doch immer noch scheinen viele Firmen die Lücken in ihren Systemen nicht gestopft zu haben.

"WannaCry" hatte für einen erheblichen Schaden gesorgt. Betroffen waren etliche Unternehmen, unter anderem die Deutsche Bahn. Die Angreifer hatten Computer blockiert und die Eigentümer erpresst. Sie forderten einen Geldbetrag in Bitcoins - einer digitalen Währung - um die betroffene Rechner wieder freizuschalten.

Über dieses Thema berichtete die tagesschau am 27. Juni 2017 um 20:00 Uhr.

Darstellung: