Die wichtigsten Antworten zu WannaCry
Am Freitagabend ware das nationale Gesundheitssystem Grossbritanniens der Patient. Zahlreiche Computer des National Health Service (NHS) waren von der Ransomware WannaCry (auch bekannt als WanaDecrypt0r 2.0) infiziert. Mit dem Programm sperren Angreifer den Computer und geben ihn nur gegen ein Lösegeld wieder frei.
Eine weitere Welle von infizierten Rechnern wird am Montag erwartet, wenn viele Leute wieder zurück im Büro sind.
Wie schütze ich mich?
Der Kryptotrojaner kommt über eine Lücke in Windows Dateifreigaben auf den Computer. Diese Lücke - bekannt als EternalBlue - wurde im März bekannt, nachdem eine Hackergruppe bekannte «Hintertürchen» der Equation Group veröffentlicht hatte. Microsoft hat diesen Exploit durch ein Sicherheits-Update geschlossen, allerdings bekamen nur aktuelle Windows-Versionen den Patch. Für Windows XP und die Server-2003-Variante gab Microsoft erst am Samstag ein Update raus.
Schutz vor WannaCry und anderen Trojanern bietet nur ein aktuelles System. Deshalb sollten Windows-Patches immer installiert werden. Dass auch staatliche Institutionen wie der NHS oder auch die Deutsche Bahn betroffen waren, zeigt, dass in vielen Unternehmen die IT-Sicherheit noch immer nicht richtig ernst genommen wird.
Whoops. Foto vom Kollegen bekommen - Chemnitz Hauptbahnhof hat wohl ein Cryptolocker Problem. pic.twitter.com/IH5B5dyKvM
— Nick Lange (@Nick_Lange_) May 12, 2017
Als zweiten Verbreitungsweg nutzt WannaCry E-Mail. Eigentlich müsste längst bekannt sein, dass von unbekannten Absendern nie Mail-Anhänge oder Links geöffnet werden sollten. Eigentlich... Ein Sprecher der Deutschen Bahn sagte gegenüber der Nachrichtenagentur dpa, dass der Angriff auf die Bahn durch E-Mails ausgelöst worden war. Ist der Trojaner erst einmal im System, verbreitet er sich im Netzwerk weiter.
Screenshot of apparent ransomware attack message sent to NHS England trusts https://t.co/jODkWomGPA pic.twitter.com/uc2HlGH9yM
— BBC Breaking News (@BBCBreaking) May 12, 2017
Was tun, wenn es mich trifft?
Den Rechner sofort vom Netz trennen und auch das Wlan abschalten, um eine weitere Verbreitung zu verhindern. Ist der Computer infiziert, kann man nicht mehr viel machen. Die Daten können ohne Kenntnis des Schlüssels nicht mehr entschlüsselt werden. Deshalb ist es ratsam, regelmässig ein Backup der eigenen Daten auf einem vom Netzwerk unabhängigen Laufwerk zu erstellen. Opfer von WannaCry sollten auf jeden Fall Anzeige bei der Polizei erstatten und kein Lösegeld bezahlen.
UPDATE: New map of the #cyberattacks across the world, thousands of attacks are 'spreading aggressively' pic.twitter.com/ceXoUpRCkw
— BNL NEWS (@BreakingNLive) May 12, 2017
Vorerst scheint die weitere Verbreitung des Kryptotrojaners WannaCry eingedämmt. Allerdings eher zufällig: Der Betreiber des Blogs «Malware-Tech» fand im Code des Trojaners einen sehr langen Domain-Namen. Er registrierte diese Domain, da er sich davon neue Erkenntnisse zu WannaCry erhoffte. Mit der Registrierung hat er offenbar eine Art «Killswitch» ausgelöst. Seit der Server antwortet, verbreitet sich WannaCry nicht mehr. Sicherheitsexperten vermuten jedoch, dass schon bald eine modifizierte Variante des Wurms auftauchen wird.
Wer ist schuld?
Die Lücke in den Windows-Systemen wurde von der Equation Group entdeckt und für Spionagesoftware ausgenutzt. Da die Hacks der Equation Group jenen des US-Geheimdienstes NSA gleichen, gehen Experten davon aus, dass die beiden Unternehmen zusammenarbeiten. Veröffentlichungen von Whistleblower Edward Snowden bestätigen diese Vermutung.
Microsoft hat deshalb auch schon schwere Vorwürfe an die Regierungen erhoben. Die NSA habe die Lücke gekannt, aber nicht gemeldet. Microsoft-Jurist Brad Smith forderte die Regierungen auf, Lücken nicht bei Geheimdiensten zu horten.
Die «New York Times» hat zur WannaCry-Verbreitung eine Karte veröffentlicht, die zeigt, wie schnell sich der Trojaner weltweit verbreitet hat.