Archiv

Ransomware WannaCry
Per Notschalter die Verbreitung gestoppt

Eine weltweite Cyber-Erpressung hatte Tausende Rechner in zahlreichen Ländern lahmgelegt. Computer wurden gehackt, gespeicherte Daten verschlüsselt und ein Lösegeld gefordert. Aber inzwischen scheint die Verbreitung der Schadsoftware gestoppt - wohl eher aus Zufall, wie Peter Welchering berichtet.

Peter Welchering im Gespräch mit Manfred Kloiber | 13.05.2017
    Symbolbild einer Cyberattacke und eines verschlüsselten Rechners.
    Symbolbilder einer Cyberattacke. (MAXPPP)
    Manfred Kloiber: Eigentlich wollten wir heute in aller Ruhe einen Rückblick auf die re:publica werfen, auf die große Netzkonferenz, die Anfang dieser Woche in Berlin stattfand. Doch dann trudelten gestern Abend die ersten Meldungen über eine scheinbar weltweit aktive Online-Erpressung per Ransomware ein. Inzwischen sind mehr als 100.000 Rechner betroffen, Grund genug also, den aktuellen Stand dieser Cyber-Attacke, bei der die Angreifer auf den betroffenen Rechnern die gespeicherten Dateien durch den Schädling Namens WannaCry verschlüsseln lassen. Wie sieht die Lage in den betroffenen Ländern aktuell aus, Peter Welchering?
    Peter Welchering: Am schlimmsten betroffen ist Großbritannien. Da sind Krankenhäuser, Arztpraxen und ambulante Operationszentren lahmgelegt. Weil der nationale Gesundheitsdienst die Krankenhaus-IT sehr nachlässig gepflegt hat, veraltete Rechner einsetzt und nur sporadisch Backups vorsieht, ist die Situation hier dramatisch. Ein Beispiel: Viele Chemotherapien bei krebskranken Patienten mussten verschoben werden, weil die Dateien mit den Blutwerten und anderen medizinischen Daten verschlüsselt sind. Hier keine Backups zu haben, das ist fahrlässige Körperverletzung.
    Kloiber: Wie sieht es in Deutschland aus?
    Welchering: Da gibt es inzwischen weitgehende Entwarnung. Die Deutsche Bahn kämpft noch mit Computern zur Steuerung von Anzeigentafeln. Auch die Videoüberwachung in den Bahnhöfen war ausgefallen und läuft noch nicht überall wieder. Drei Krankenhäuser haben Angriffe gemeldet, aber die sind erfolgreich abgewehrt worden. Zwei Maßnahmen haben die weitere Ausbreitung der Schadsoftware gestoppt: Zum einen hat Microsoft außer dem bisher herausgegebenen Patch für Systeme ab Windows Vista auch noch Patch für Windows XP bereitgestellt. Zum anderen hat der Betreiber des Blogs MalwareTech eher zufällig den Notaus-Schalter in der Schadsoftware gefunden und damit in den frühen Morgenstunden die weitere Verbreitung gestoppt.
    Kloiber: Wie müssen wir uns diesen Notausschalter vorstellen?
    Welchering: Die Schadsoftware WannaCry wird von einem Computerwurm durch die Netze geschleust. Findet WannaCry einen Windows-Computer mit der ungepatchten Sicherheitslücke, schickt die Schadsoftware eine Anfrage an eine Webseite. Erhält sie die Antwort, die Website gibt es nicht, dann infiziert sie den Rechner. Die Spezialisten von MalwareTech haben in der Schadsoftware den Domainamen dieser Notaus-Website entdeckt, die Domain für knapp elf britische Pfund registriert, und fortan erhält die Schadsoftware von der Domain eine Rückmeldung. Diese Rückmeldung löst einen Programmsprung aus. Der beendet die Schadsoftware, und der Rechner wird nicht infiziert. Bisher scheint das zu funktionieren. Die Angreifer haben Stand 15.30 Uhr die Notaus-Website nicht vom Netz genommen, also keine weiteren Angriffsmaßnahmen unternommen.
    Kloiber: Was wissen wir über die Angreifer?
    Welchering: Wenig. Offenbar eine Kriminellen-Gruppe, die im Geschäft mit Erpressersoftware ihr Geld verdient. Davon sind zwei Dutzend Gruppen gut bekannt. Die mache ihr Geld damit, indem sie die Dateien auf den Rechnern anderer Leute verschlüsseln. Bei Unternehmen wird dann über das Lösegeld verhandelt. Dann erhalten Unternehmen den Schlüssel, um ihre Dateien wieder entschlüsseln zu können. Privatleute, die die 300 Dollar Lösegeld gezahlt haben, haben in den meisten Fällen nie mehr was von den Erpressern gehört, also auch keinen Schlüssel zum Wiederherstellen ihrer Dateien bekommen. Diskutiert wird im Augenblick, woher die Not-Aus-Website in der Schadsoftware stammt. Wenn die Erpressergruppe den bewusst eingebaut hat, dann versteht niemand, warum die gestern Abend, als die Angriffswelle außer Kontrolle geriet, den Not-Aus nicht betätigt haben. Bleiben also zwei Erklärungen: Das war eine Auftragsprogrammierung. Und die Erpressergruppe konnte den von den Programmierern eingebauten Not-Aus nicht erhalten. Oder die Programmierer haben einfach aus Softwarevorlagen die WannaCry-Schadsoftware zusammengebastelt. Und in einigen dieser Softwarevorlagen sind tatsächlich solche Not-Aus-Website fest einprogrammiert.
    Kloiber: Wie kann man sich vor solch einer Erpressung am besten schützen?
    Welchering: Ständige Backups machen. Denn wenn Dateien auf einem Unternehmensrechner verschlüsselt werden, und es liegt ein aktuelles Backup vor, braucht das Unternehmen die Erpresser nicht und muss auch kein Lösegeld zahlen. Dann werden einfach die Backup-Dateien neu aufgespielt, und das Unternehmen kann weiterarbeiten. Auf die Lösegeldforderung einzugehen, halte ich fahrlässigen Leichtsinn. Denn auch nach Zahlung des Lösegeldes ist nicht garantiert, dass die Daten wieder entschlüsselt werden können. Und dann brauchen wir endlich eine Meldepflicht für Sicherheitslücken. Die von WannaCry genutzte Sicherheitslücke war nun bekannt und auch schon von Microsoft geschlossen. Aber viele spielen die Sicherheitspatches eben nicht regelmäßig ein. Und das ist gefährlich.
    Kloiber: Peter Welchering war das über die Online-Erpressungswelle durch WannaCry – vielen Dank.