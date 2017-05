Was ist Ransomware, wie funktioniert sie und wie kann sie sich weltweit verbreiten? Antworten auf diese Fragen hat Christian Semm.

Sind Cyberattacken nur für große Firmen und Institutuionen gefährlich oder kann es auch Privatnutzer treffen? Und wie schützt man sich am besten? Christian Sievers im Expertengespräch mit Markus Niehaves.

Chaos-Computerclub-Sprecher Frank Rieger erklärt, Kriminelle hätten "Geheimdienst-Technik" in die Hände bekommen und versuchen, damit zu erpressen. Der schädliche Wurm sei noch nicht gestoppt, er wird sich in veralteter Software weiterverbreiten.

Die europäische Polizeibehörde Europol in Den Haag gab vorsichtige Entwarnung. Eine weitere massenhafte Ausbreitung der Schadsoftware sei offenbar vermieden worden, sagte der Europol-Sprecher Jan Op Gen Oorth. Offenbar hätten eine Menge Experten am Wochenende "ihre Hausaufgaben gemacht" und die Sicherheitssysteme aktualisiert.

Der Angriff sei im Wesentlichen gestoppt, sagte ein Sprecher des Bundesinnenministeriums zur aktuellen Lage in Deutschland. Die Befürchtungen einer zweiten Angriffswelle hätten sich bislang nicht bestätigt. "Wir beobachten das natürlich aufmerksam." Dies laufe insbesondere über das Bundesamt für Sicherheit in der Informationstechnik (BSI). "Regierungsnetze sind nach wie vor nicht betroffen", sagte der Sprecher.

Nach der weltweiten Attacke mit dem Virus "WannaCry" geben die europäischen Behörden vorsichtig Entwarnung. Laut Europol gab es am Montag in Europa keine neuen infizierten Computer. In Asien gab es Tausende neue Fälle, doch die Angriffe legten Unternehmen nicht lahm.

Nicht bezahlen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es gebe keine Garantie, dass die Täter nach der Überweisung die Daten wieder entschlüsselten. Stattdessen könne der Erfolg sie zu weiteren Erpressungen verleiten, betont die für Computersicherheit zuständige Behörde. Entscheidend sei vielmehr, die Infektion des Systems zu stoppen. In jedem Fall sollte auch eine Anzeige bei der Polizei erfolgen. (Quelle: ZDF, ap, dpa)

Nutzer sollten zudem auf schadhafte E-Mails achten, die oft als E-Mails von Firmen oder Menschen getarnt sind, mit denen häufig E-Mail-Kontakt besteht. Es sei wichtig, nicht auf Links oder Anhänge zu klicken, da diese die Ransomware freisetzten, so Villasenor. Zentrale erste Maßnahme ist immer, befallene Systeme vom Netz zu isolieren - durch Ziehen der Netzwerkstecker oder Abschalten der WLAN-Adapter.

Der erste Schritt sei es, umsichtig zu sein, so Experten. Eine "perfekte Lösung" für das Problem gäbe es jedoch nicht, sagt John Villasenor. Nutzer sollten regelmäßig ihre Daten sichern und prüfen, dass Sicherheits-Updates installiert werden, sobald diese veröffentlicht werden. Die Attacke von Freitag nutzte eine Sicherheitslücke von Microsoft Windows, für die nach Angaben des Unternehmens bereits Updates bereitgestellt worden waren. Viele Nutzer hatten sie jedoch noch nicht installiert.

In den meisten Fällen befällt die Ransomware den Computer durch Links oder Anhänge in schädlichen E-Mails, auch bekannt als sogenannte Phishing-Mails. Der beste Tipp sei hierbei, einfach nicht auf Links in E-Mails zu klicken, sagt Jerome Segura von der US-Softwarefirma Malwarebytes, die Softwares gegen die Ransomware anbietet. Ziel der Ransomware sei es, den Nutzer dazu zu bekommen, einen schädlichen Code zu aktivieren. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schadsoftware auf den Computer.

Malware ist ein allgemeiner Begriff, der Software bezeichnet, die schädlich ist, wie John Villasenor, Professor an der Universität von Kalifornien, erklärt. Ransomware sei ein Typ von Malware, der in erster Linie Computer übernehme und deren Nutzer daran hindere, an Daten zu gelangen, bis ein Lösegeld dafür gezahlt werde, so Villasenor.

Viele Ransomware-Schädlinge verschlüsseln zusätzlich auch angeschlossene externe Medien (z.B. USB-Sticks) sowie Netzlaufwerke. Laut BSI gelangt Ransomware am häufigsten durch das Öffnen von Anhängen von Spam-E-Mails oder das Besuchen von infizierten Webseiten in die Computersysteme.

Das Problem mit dieser Schadsoftware ist, dass sie sich tief in den Computersystemen verankert. Ist die Schadsoftware professionell programmiert, werden die Datenträger verschlüsselt. Eine Wiederherstellung der verschlüsselten Daten ist dann nur mit dem passenden Schlüssel möglich. Diesen bieten die Kriminellen gegen Geld zum Kauf an.

Bei dem weltweiten Cyber-Angriff handelt es sich um eine Ransomware-Attacke. Als solche werden laut Bundesamt für Sicherheit in der Informationstechnik (BSI) Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes wieder freigeben. "Cyber-Angriffe durch Ransomware sind eine Form digitaler Erpressung", ordnet das BSI ein.

Auch Deutsche Bahn betroffen

Die weltweite Cyberattacke hatte am Wochenende in zahllosen Behörden, Unternehmen und bei Einzelpersonen erhebliche Schäden angerichtet. Die erpresserische Schadsoftware legte seit Freitagabend in Großbritannien zahlreiche Kliniken lahm. Betroffen waren die Deutsche Bahn, der Automobilkonzern Renault, der Telefon-Riese Telefónica und das russische Innenministerium sowie weitere Großunternehmen.

Europol sprach von einer "beispiellosen" Cyberattacke. Hunderttausende Computer in 150 Ländern wurden von einer Schadsoftware mit dem Namen "WannaCry" blockiert. Allein in China sollen nach Angaben der IT-Sicherheitsfirma Qihoo 360 knapp 30.000 Institutionen betroffen sein - von Regierungsbehörden, Unternehmen, Universitäten und Kliniken bis hin zu Geldautomaten.

Experten und Behörden waren davon ausgegangen, dass die Zahl der infizierten Computer am Montag weiter steigen würde, weil zahlreiche Rechner erst nach dem Wochenende wieder hochgefahren wurden. Am Sonntag wurden zudem neue Varianten des sich schnell vermehrenden Wurms entdeckt.

Kalkül: 300 Dollar pro infizierten Rechner erpressen

Die Angreifer hatten Computerdaten verschlüsselt und ein Lösegeld verlangt, um die Daten wieder freizugeben. Auf dem Bildschirm infizierter Rechner erschien lediglich die Aufforderung, innerhalb von drei Tagen 300 Dollar (275 Euro) in der Internet-Währung Bitcoin zu überweisen. Sollte binnen sieben Tagen keine Zahlung eingehen, würden die verschlüsselten Daten gelöscht.

In mehreren Ländern warnten Behörden davor, den Geldforderungen nachzukommen, da es keine Garantie gebe, dass die Daten auf den betroffenen Computern tatsächlich wieder freigegeben würden. Ungeachtet der Warnungen gingen einige Opfer aber offenbar auf die Lösegeldforderungen ein. Die IT-Sicherheitsfirma Digital Shadows teilte am Sonntag mit, sie habe bereits entsprechende Transaktionen in Bitcoin im Wert von 32.000 Dollar (29.300 Euro) registriert. Der Anti-Virenprogramm-Hersteller Symantec sprach von 81 Transaktionen im Umfang von 28.600 Dollar bis Samstagmittag.

Microsoft kritisiert NSA

Microsoft kritisierte nach der Cyberattacke den Einsatz von Schadprogrammen durch Regierungen. Der Angriff sei ein "Weckruf", schrieb Microsoft-Manager Brad Smith in einem Blog-Eintrag. Er warf dem US-Geheimdienst NSA vor, eine Sicherheitslücke im Betriebssystem Windows für seine eigenen Zwecke genutzt zu haben. Nachdem die NSA selbst Opfer eines Hackerangriffs geworden war, gelangten die Informationen in die Hände Krimineller, die dann den großangelegten Cyberangriff starteten.

Auf konventionelle Waffen übertragen sei der Schaden mit dem Diebstahl einiger Tomahawk-Raketen aus dem Arsenal der US-Armee vergleichbar, schrieb Smith. Er forderte die Regierungen auf, ihre Erkenntnisse über Sicherheitslücken künftig mit den Softwareunternehmen zu teilen.

Noch keinen Verdächtigen

Nach Angaben von Europol ist es noch zu früh um zu sagen, wer hinter der Attacke steckt. "Aber wir arbeiten daran, ein Werkzeug zu entwickeln, um die Schadsoftware zu entschlüsseln", sagte Europol-Sprecher Op Gen Oorth.

Der russische Präsident Wladimir Putin mahnte die Geheimdienste zur Vorsicht beim Programmieren von Hacker-Software. Sie müssten sich bewusst sein, dass solche Anwendungen auch zu böswilligen Zwecken eingesetzt werden könnten. Er betonte, dass Russland nicht hinter der Attacke stecke. Russische Organisationen seien betroffen gewesen, es habe jedoch "keinen bedeutenden Schaden" gegeben.