Krypto-Trojaner WannaCry: Weltweite Attacke betrifft auch Deutsche Bahn

Andreas Frischholz
217 Kommentare
Krypto-Trojaner WannaCry: Weltweite Attacke betrifft auch Deutsche Bahn
Bild: Avast

Derzeit kursiert ein Krypto-Trojaner mit Namen wie „WannaCry“ oder „WanaCryptor 2.0“, der weltweit die Systeme von Unternehmen und Behörden befällt. Experten stufen das Ausmaß des Schadens als enorm ein. Neben englischen Krankenhäusern sind auch Rechner der Deutschen Bahn betroffen.

Seit Freitag verbreitet sich der WannaCry-Trojaner wie eine Epidemie, Europol spricht etwa von einer globalen Attacke mit „beispiellosem Ausmaß“. Der IT-Sicherheitsanbieter Avast registrierte bereits 75.000 infizierte Systeme in 99 Ländern. Die Hauptverbreitungsgebiete sind demnach Russland, die Ukraine und Taiwan, infiziert wurden aber weltweit die Systeme von Institutionen, Behörden und Unternehmen.

WannaCry nutzt kritische Lücke in älteren, nicht aktualisierten Windows-Betriebssystemen

Die Vorgehensweise ist typisch für Krypto-Trojaner: Ist ein System infiziert, verschlüsselt die Malware Daten. Anwender sollen dann ein Lösegeld für die Freigabe zahlen, bei WanaCryptor 2.0 sind es 300 US-Dollar in Form von Bitcoins. Ein besonderes Merkmal dieses Krypto-Trojaners ist allerdings, dass er sich selbst weiter verbreiten kann. „Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen“, erklärt die IT-Sicherheitsbehörde BSI.

Der WannaCry-Trojaner nutzt eine kritische Lücke in Windows-Betriebssystemen aus, die älter als Windows 10 sind. Ein Patch existiert bereits seit März 2017, betroffen sind also Rechner, die nicht auf dem aktuellen Stand sind. Sämtlichen Anwendern wird nun dringend geraten, das Update MS17-010 einzuspielen, falls das noch nicht geschehen ist. Weitere Details zu WannaCry nennt Microsoft in einem Technet-Beitrag.

Prominente Opfer-Liste: Deutsche Bahn, FedEx, Telefónica, Renault und das britische Gesundheitssystem

Die Deutschen Bahn bestätigte mittlerweile Störungen bei den Anzeigetafeln auf den Bahnhöfen, von denen zuvor schon Twitter-Nutzer berichtet haben. Betroffen sein sollen auch einige Ticketautomaten, das Bundesinnenministerium meldet zudem noch Ausfälle bei der Video-Überwachung. Fahrgästen empfiehlt die Bahn, sich online über Verbindungen zu informieren. Den Bahnbetrieb selbst habe der Trojaner aber nicht beeinträchtigt. „Es gibt keine Einschränkungen im Fern- und Nahverkehr“, heißt es in der Stellungnahme. Aktuell arbeite das Unternehmen mit Hochdruck, um die Störung zu beheben.

Am Freitag wurde zunächst bekannt, dass das britische Gesundheitssystem betroffen ist. Infiziert wurden die Systeme in 16 Einrichtungen, dazu zählen Krankenhäuser in Nord- und Südengland. Die Attacke hatte Folgen für die Patienten. Wie der Guardian berichtet, konnten Mitarbeiter bisweilen keine Patientendaten oder E-Mails abrufen. Außerdem wurde die IT-Infrastruktur so stark beeinträchtigt, dass Krankenhaus-Mitarbeiter nicht mehr die Computer nutzen konnten, sondern auf Papier und Stift umsteigen mussten.

Ein Blick auf die Liste der Opfer verrät das Ausmaß der Attacke. Zu den bekannten Namen zählen das russische Innenministerium, FedEx in den USA, der spanische Provider Telefónica sowie Renault. Die Schäden unterscheiden sich je nach Unternehmen und Behörde. Oftmals bedeutete die Attacke allerdings: Systeme mussten heruntergefahren werden, um eine Ausbreitung des Trojaners zu stoppen. Die Konsequenz sind Ausfälle in der Produktion, Renault musste beispielsweise am Freitagabend ein Werk vorübergehend schließen.

BKA soll Ermittlungen übernehmen

Reagiert haben bereits die deutschen Behörden. Das Bundeskriminalamt (BKA) übernimmt nun die strafrechtlichen Ermittlungen, teilte das Bundesinnenministerium auf Twitter mit. Regierungsnetze sollen aber nicht von WannaCry befallen sein.

Das BSI rät nicht nur dringend zu einem Update für anfällige Windows-Systeme, sondern verweist noch auf den Leitfaden für den Umgang mit Ransomware. Betroffene Unternehmen sollen die Vorfälle zudem melden, sodass das BSI ein möglichst vollständiges Lagebild erstellen kann.

Grundsätzlich wäre zudem ein Umdenken erforderlich. Die Angriffe sind „ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen“, sagt BSI-Präsident Arne Schönbohm.

NSA-Exploit soll aus dem „Shadow-Broker“-Leak stammen

Prägend für die Debatte in den nächsten Tagen dürfte allerdings die Geschichte des Trojaners sein. Denn der Exploit soll aus dem Sicherheitslücken-Arsenal der NSA stammen, das die Hacker-Gruppe The Shadow Brokers erbeutet und später veröffentlicht hat. Edward Snowden kritisierte, dass Geheimdienste wie die NSA solche Lücken nicht schließen, sondern selbst ausnutzen wollen. Die aktuellen Vorfälle wären die Konsequenz dieser Strategie.

Die Journalistin und IT-Spezialistin Zeynep Tufekci erklärte allerdings, in diesem Fall gehe es im Kern nicht um die NSA. Ein Patch habe bereits existiert. Das Problem sei vielmehr, dass Unternehmen und Behörden die Systeme nicht aktualisiert haben.

Nvidia GTC 2024 (18.–21. März 2024): ComputerBase ist vor Ort!