Der weltweite Hacker-Angriff scheint an Deutschland relativ glimpflich vorbei gegangen zu sein. Zwar gab es bei der Deutschen Bahn Probleme mit Anzeigetafeln und Fahrkartenautomaten. Regierungsnetze waren jedoch nicht betroffen. Die Attacke, die fast hundert Länder erreichte, konnte vorerst gestoppt werden.

Nach dem weltweiten Cyber-Angriff mit einer erpresserischen Schadsoftware hat das Bundesinnenministerium Entwarnung für die Computernetzwerke der Bundesregierung gegeben. "Die Regierungsnetze sind von dem Angriff nicht betroffen", teilte Bundesinnenminister Thomas de Maizière (CDU) an diesem Samstag mit. Der "hochprofessionelle Schutz" durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) habe sich ausgezahlt. Das Bundeskriminalamt (BKA) habe die strafrechtlichen Ermittlungen zu der Cyberattacke übernommen.

De Maizière: Angespannte Bedrohungslage

De Maizière sprach von "erheblichen Cyber-Sicherheitsvorfällen". Auch wenn die Attacke besonders schwerwiegend sei, füge sie sich "in die sehr angespannte Cyber-Bedrohungslage" an und sei nicht die erste ihrer Art.

Derzeit ist noch unklar, wie viele Unternehmen oder öffentliche Einrichtungen in Deutschland betroffen sind. Das Bundesinnenministerium bestätigte, dass die Deutsche Bahn und der Logistikkonzern Schenker Opfer der Attacke geworden seien. "Um einen möglichst vollständigen Überblick über die Lage zu bekommen, rufen wir betroffene Institutionen auf, Vorfälle beim BSI zu melden", erklärte BSI-Präsident Arne Schönbohm.

Europol: "Beispielloses Ausmaß"

Nach Einschätzung der europäischen Ermittlungsbehörde Europol hatte die Attacke ein bisher "beispielloses Ausmaß". Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol. Die gemeinsame Cybercrime-Taskforce, die aus Experten verschiedener Länder besteht, werde eine wichtige Rolle bei den Ermittlungen spielen.

Bei der Cyber-Attacke am Freitag waren nach bisherigen Angaben von IT-Sicherheitsexperten mindestens 75.000 Computer in Dutzenden Ländern infiziert worden. Betroffen waren unter anderem das russische Innenministerium, mehrere Krankenhäuser in Großbritannien und der Telekom-Konzern Telefónica in Spanien.

DB: Bahn-Verkehr nicht betroffen

Einschränkungen bei der Bahn Die weltweite Cyber-Attacke hat auch Service- und Überwachungstechnik der Deutschen Bahn getroffen. Teilweise seien digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen in Deutschland ausgefallen, teilte ein DB-Sprecher mit. Die Bahn bittet Reisende, sich vor Fahrtantritt im Internet über Abfahrtszeiten und -gleise zu informieren. Die Internetseite bahn.de sowie die "Navigator-App" für Smartphones funktionierten ohne Einschränkung, sagte der Sprecher. An den Bahnhöfen seien die Reisezentren und Informationsschalter geöffnet.

Auch die Deutsche Bahn gehörte zu den Opfern der Cyber-Attacke. Wie die Bahn mitteilte, gebe es wegen "eines Trojanerangriffs im Bereich der DB Netz AG" Systemausfälle in verschiedenen Bereichen. "Der Bahnbetrieb ist durch den Trojaner nicht beeinträchtigt. Es gibt keine Einschränkungen im Fern- und Nahverkehr", heißt es in einer am frühen Samstagmorgen verbreiteten Mitteilung. An den Bahnhöfen gebe es derzeit noch technische Störungen an den digitalen Anzeigetafeln.

Auch die DB-Technik zur Videoüberwachung war betroffen. Das teilte ein Sprecher des Bundesinnenministeriums mit. Die Bahn stellt diese Technik für die Bundespolizei bereit. Die Computernetze der Bundespolizei selbst waren nach Angaben des Sprechers von den Angriffen aber nicht betroffen. Auch für die Bundesregierung und andere Bundesbehörden sei dies zum gegenwärtigen Zeitpunkt auszuschließen, hieß es.

Der netzpolitische Sprecher der Grünen im Bundestag, Konstantin von Notz, sprach dennoch von einer "maximal ernstzunehmenden" Attacke. "Solche Attacken auf Krankenhäuser und andere Infrastrukturen sind lebensgefährlich", sagte von Notz. Sicherheitslücken würden auchwestlichen Geheimdiensten zur Informationsgewinnung bewusst offengehalten und nunKriminellen und feindlich gesinnten Diensten ausgenutzt. Auch die Bundesregierung habe etwa dem Bundesamt für Verfassungsschutz das Ankaufen solcher Sicherheitslücken erlaubt und finanziert.

Angriff gestoppt - aber nicht vorbei

Die Attacke wurde in der Nacht zum Samstag - eher zufällig - gestoppt, weil ein IT-Sicherheitsforscher im Software-Code auf eine Art "Notbremse" gestoßen war. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint dem britischen "Guardian" am Samstag. Die Registrierung durch "MalwareTech" dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte.

Er sei zufällig auf den "Schalter" gestoßen, schrieb der IT-Fachmann. Die Schadsoftware "stützt sich hauptsächlich auf eine nicht registrierte Domain und als wir sie registriert haben, haben wir die Verbreitung der Schadsoftware gestoppt", schrieb @MalwareTechBlog bei Twitter. Werde dieser Vorgang nicht wieder rückgängig gemacht, "wird dieser eine Stamm keinen Schaden mehr anrichten". Es sei jedoch dringend erforderlich, Sicherheitslücken in Computersicherheitssystemen so schnell wie möglich mit Updates zu schließen, riet der Experte. "Die Krise ist nicht vorbei, sie können den Code jederzeit ändern und es wieder versuchen."

Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde. Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein "Held durch Zufall", erklärte auch Kalember von Proofpoint.