Washington – Ein weltweiter massiver Cyberangriff hat bei Sicherheitsexperten Alarm ausgelöst. Nach ihren Angaben wurde dabei ein Erpresservirus ("Ransomware") eingesetzt, das Computerdaten verschlüsselt, die danach nur gegen Zahlung einer Gebühr entschlüsselt werden können. Neben britischen Spitälern und dem Telekomkonzern Telefonica waren auch russische Polizeicomputer und der Logistiker FedEx betroffen.

Der Experte Costin Raiu von der IT-Sicherheitsfirma Kaspersky spricht von mindestens 45.000 Hackerattacken in 74 Ländern weltweit. Laut Jakub Kroustek vom Sicherheitsunternehmen Avast liegt der Schwerpunkt der Angriffe derzeit in den Ländern Russland, Ukraine und Taiwan.

Das gesamte Ausmaß des Angriffs war zunächst unklar. Den Experten zufolge breitet sich das Schadprogramm rasant aus. Nach Angaben von Forcepoint Security Labs wird die Schadsoftware von fast fünf Millionen E-Mails pro Stunde weiterverbreitet.

Betroffen seien auch etwa 1.000 Computer im russischen Innenministerium, teilte dieses der Nachrichtenagentur Interfax am späten Freitagabend mit. Das Logistikunternehmen FedEx berichtete indes, dass es auf einigen Windows-Computern "Behinderungen" durch Schadsoftware im Zusammenhang mit der globalen Angriffswelle festgestellt habe.

Die Hacker nutzten demnach eine Sicherheitslücke, die offenbar vom US-Auslandsgeheimdienst NSA entdeckt worden war – sie wurde in illegal weiterverbreiteten NSA-Dokumenten beschrieben. Laut dem Unternehmen Kaspersky wurden diese Informationen im April von einer Hackergruppe namens "Shadow Brokers" veröffentlicht, die behauptete, die Lücke durch die NSA entdeckt zu haben.

Microsoft hatte im März einen Software-Patch herausgegeben, der den Mechanismus der Weiterverbreitung der Schadsoftware verhindert. Den Experten zufolge wurde der Patch aber auf vielen Computern noch nicht aufgespielt.

Daten verschlüsselt

Von dem Angriff waren zahlreiche Krankenhäuser in Großbritannien sowie der spanische Telekomriese Telefonica betroffen. In Schweden waren 70 Computer der Gemeinde Timra betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15 Uhr seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, hätten sie die Meldung bekommen, dass die Daten verschlüsselt seien und sie für die Freigabe bezahlen müssten.

Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Die PT-Homepage war am Abend nicht abrufbar. Man sei von Hackern attackiert worden, die Lösegeld gefordert hätten, bestätigte ein Firmensprecher. Zahlreiche Kunden der Bank Millennium BCP hatten am Freitag lange keinen Zugriff auf ihre Online-Konten. Das Geldhaus teilte mit, man sei nicht attackiert worden, habe aber vor dem Hintergrund der Cyberattacke vorbeugende technische Vorkehrungen ergriffen. Die Situation sei inzwischen wieder normal.

Keine Probleme in Frankreich

Laut Forcepoint Security Lab sind auch Einrichtungen in Australien, Belgien, Frankreich, Deutschland, Italien und Mexiko betroffen. Allerdings sagte ein Sprecher der französischen Behörde für IT-Sicherheit (Anssi) am Freitagabend, ihm sei nichts von einem Hackerangriff auf französische Einrichtungen wie in Großbritannien bekannt.

Schadprogramme dieser Art werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Die Computer werden befallen, wenn zum Beispiel ein Nutzer einen fingierten Link in einer E-Mail anklickt oder ein angehängtes Zip-File öffnet, das Schadcode enthält. Klassische Antiviren-Software ist oft machtlos. Zugleich können die Angreifer mit dem Lösegeld weitere Attacken finanzieren. Meist werden Privatpersonen Opfer der Erpressungssoftware.

Behörden arbeiten unter Hochdruck

Unklar ist, wie lang es dauert, bis die Systeme wiederhergestellt sind. Die britischen Behörden arbeiten laut "Guardian" unter Hochdruck an einer Aufhebung der Sperre. Mit derartigen Cryptolockern verdienen Kriminelle immer mehr Geld. Auch in Deutschland wurde 2016 ein Krankenhaus mit einem Verschlüsselungstrojaner lahmgelegt. Da weltweit diverse Firmen betroffen sind, dürfte es sich nicht um einen gezielten Angriff auf das britische Gesundheitssystem handeln.

Möglicherweise handle es sich um die Ransomware "Wanna Decryptor", teilte der NHS mit. Spanische IT-Sicherheitsexperten verwiesen auf die Software unter ihrem zweiten bekannten Namen, "Wanna Cry". Sie missbraucht eine einst von der NSA ausgenutzte Sicherheitslücke. Nachdem unbekannte Hacker die gestohlenen NSA-Daten veröffentlicht hatten, wurden die Schwachstelle eigentlich gestopft – aber nicht alle Computer wurden offensichtlich auf den neuesten Stand gebracht. (APA, AFP, fsc, 12.5.2017)