http://www.faz.net/-gqe-8z8o8

Neue Hacker-Attacke : „Virus fräst sich durch große Netzwerke und nimmt alles mit“

  • Aktualisiert am

Noch sind die Experten uneins, was die neue Schadsoftware ist. Bild: EPA

Die neue Cyber-Attacke mit Erpressungssoftware geht weiter. Deutsche Unternehmen sind betroffen. Der Chaos Computer Club macht auf eine Besonderheit aufmerksam.

          Der am Dienstag ausgebrochene Cyber-Angriff hat Asien erreicht. Ein Hafenterminal von Indiens größtem Containerhafen nahe Mumbai konnte keine Schiffe beladen oder entladen, berichtet der Finanzdienst Bloomberg. Weil das Terminal-Portal nicht in der Lage sei zu identifizieren, welche Ladung zu wem gehört, werde das nun vorerst manuell erledigt, sagte der Unternehmensvorsitzende Anil Diggikar demnach. Betreiber des Terminals ist übrigens die weltgrößte Containerreederei Maersk, die bereist berichtete, in mehreren Regionen von dem Angriff betroffen zu sein, zum Beispiel auch in ihren Büros in London und Irland.

          Falk Garbsch, der Sprecher des Chaos Computer Clubs, sagte im Inforadio des RBB, der neue Virus setzte nicht nur auf die Sicherheitslücke, die bereits von der NSA ausgenutzt wurde, sondern auch auf andere Lücken. „Das ist der Grund, warum sich dieser Virus auch auf Windows 10 Systemen weiterverbreiten kann, sich durch große Netzwerke fräst und da quasi alles mitnimmt, was er irgendwie runterreißen kann.“ Es reiche im Zweifelsfall aus, dass ein einzelner Rechner in einem Firmennetzwerk infiziert werde.

          In Deutschland bestätigte der Kosmetikhersteller Beiersdorf derweil, selbst ebenfalls Opfer eines Hackerangriffs gewesen zu sein. „In der Tat wurden wir Ziel eines Cyberangriffs“, sagte eine Sprecherin des in Hamburg beheimateten Unternehmens. Dieser habe zum Ausfall der IT- und Telefonsysteme geführt. Davon seien neben der Hamburger Zentrale alle Standorte betroffen. Beiersdorf habe Maßnahmen ergriffen, um die Auswirkungen auf die Kunden und Geschäftspartner so gering wie möglich zu halten.

          Sie wollten eher Chaos anrichten

          Unternehmen rund um den Globus kämpfen weiterhin mit den Folgen des nun schon zweiten Angriffs mit Erpressungssoftware innerhalb von zwei Monaten. Dazu zählen neben Beiersdorf und Maersk der russische Ölproduzent Rosneft, der amerikanische Pharmakonzern Merck, die französische Bahn SNCF und der Lebensmittel-Hersteller Mondelez, der unter anderem durch seine Milka-Schokolade bekannt ist. Betroffen waren auch die Deutsche Post und der Metro-Konzern, deren IT-Systeme in der Ukraine attackiert wurden.

          Überhaupt traf der Cyber-Angriff Unternehmen und Behörden in der Ukraine besonders. An der Ruine des Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Wichtige technische Systeme der Station funktionierten dort aber normal.

          Die Schadsoftware verbreitete sich am Dienstag nicht nur über die Windows-Sicherheitslücke, die im Mai der Trojaner „Wannacry“ ausgenutzt hatte, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken. Unterdessen sehen Experten Hinweise darauf, dass die Angreifer eher Chaos anrichten wollten und nicht auf Profit aus waren.

          Schadsoftware für 28 Dollar?

          Während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, war die Bezahlfunktion während der neuen Attacke äußerst krude gestaltet. Die Angreifer verlangten 300 Dollar in der Cyberwährung Bitcoin. Das Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben.

          Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen nur 35 Zahlungen auf dem Bitcoin-Konto ein.

          Die russische IT-Sicherheitsfirma Kaspersky verzeichnete am Dienstag ungefähr 2000 erfolgreiche Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien, Frankreich und den Vereinigten Staaten. Der neue Angriff breitete sich langsamer aus als der „Wannacry“-Trojaner, der binnen eines Tages hunderttausende Computer befiel - aber er zog mehr international agierende Unternehmen in Mitleidenschaft.

          Viele haben das Update nicht installiert

          IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Software sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software „Petya“. Die Fachleute von Kaspersky kamen hingegen zu dem Schluss, es sei keine „Petya“-Variante, sondern eine neue Software, die sich nur als „Petya“ tarne.

          Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner „Wannacry“, erklärten die Experten der IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

          In internen Netzen nutze „Petya“ aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung aus und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI. Die Windows-Schwachstelle wurde ursprünglich vom amerikanischen Geheimdienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt - doch das scheinen viele Firmen noch immer nicht installiert zu haben.

          Mitte Mai hatte die „Wannacry“-Attacke hunderttausende Windows-Computer in mehr als 150 Ländern infiziert. Betroffen waren damals vor allem Privatpersonen, aber auch Unternehmen wie die Deutsche Bahn und Renault.

          Chaos-Computer-Club-Fachmann Garbsch wiederum forderte nun ein Umdenken in der Digitalpolitik. In der vergangenen Woche sei „das Staatstrojaner-Gesetz durch den Bundestag geprügelt“ worden. „Das ist ein Gesetz, das damit spielt, dass Sicherheitslücken durch Staaten geheim gehalten werden. (...) Und das muss aufhören. Solange wir diesen Kurs folgen, solange wir diese IT-Sicherheitspolitik weiter betreiben, dass Staaten Sicherheitslücken horten, müssen wir damit rechnen, dass das regelmäßig passiert.“

          Quelle: ala./dpa

          Weitere Themen

          Warum Amazon ins Schwäbische zieht

          Cyber Valley : Warum Amazon ins Schwäbische zieht

          Bei Stuttgart entsteht eine große Forschungskooperation für schlaue Computer. Angesagte Unternehmen machen mit – nun auch der weltgrößte Internethändler. Und nicht nur mit einer jährlichen Millionen-Überweisung.

          Flughafen erzwingt Zwischenstopp Video-Seite öffnen

          Air Berlin : Flughafen erzwingt Zwischenstopp

          Eine Maschine der insolventen Fluglinie musste auf dem isländischen Flughafen Keflavik am Boden bleiben. Die Flughafengesellschaft teilte mit, Air Berlin habe Flughafengebühren nicht bezahlt.

          Topmeldungen

          Pirat an einer Küste Afrikas

          Nigeria : Piraten überfallen deutsches Containerschiff

          Das Schiff einer Hamburger Reederei ist vor Nigeria von Piraten angriffen worden. Die Seeräuber verschleppten sechs Besatzungsmitglieder, darunter ist auch der Kapitän.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.