Banken, ein Flughafen, eine der weltgrößten Reedereien und die Strahlungsmessung an der Atomruine Tschernobyl – die neue Attacke eines Erpressungstrojaners hat zwar nicht so flächendeckend um sich gegriffen wie „WannaCry“ Mitte Mai. Aber die Liste der Opfer ist Furcht einflößender. Der zweite Angriff binnen gut sechs Wochen führt einmal mehr vor Augen, wie verwundbar die vernetzte Welt sein kann und dass sich selbst Großkonzerne, die viele Millionen für ihre Sicherheit ausgeben, nicht sicher fühlen können.
Die neue Attacke wirft viele Fragen auf. Etwa über welche Wege genau sich die Erpressungssoftware ausbreitete, dass es diesmal viele Unternehmen, aber wenige Verbraucher traf? Warum scheinen die Angreifer im Gegensatz zu typischen Internet-Kriminellen so wenig an den Lösegeldzahlungen interessiert zu sein? Wer könnte dahinterstecken?
Was man weiß, ist, dass es die Ukraine zuerst und am härtesten traf. Der dortige Steuersoftware-Anbieter Me-Doc gilt einigen IT-Sicherheitsexperten als „Victim Zero“ – als erstes Opfer, über das sich die Infektion ausbreitete. Möglicherweise über ein manipuliertes Update der Me-Doc-Software. Das könnte zumindest erklären, warum es in dem Land ein Unternehmen nach dem anderen traf.
Die Software verschlüsselt die Festplatte von Computern und fordert Lösegeld für die Freischaltung. Das ist ein lukratives Geschäft, das Internet-Kriminellen hunderte Millionen Dollar einbringen kann. Doch der Angriff von Dienstag war schon ungewöhnlich, weil die enorme Durchschlagskraft der Schadsoftware mit einer seltsamen Nachlässigkeit beim Geldeintreiben gepaart war. Opfer sollten sich nach dem Bezahlen per E-Mail bei den Angreifern melden. Die Adresse beim deutschen Mail-Dienst Posteo wurde – wie auch nicht anders zu erwarten – schnell blockiert. Bis Mittwochmittag zeigte die Bitcoin-Börse der Angreifer gerade einmal 42 Geldeingänge.
So gehe man nicht vor, wenn man Geld verdienen wolle, ist Helge Husemann von der IT-Sicherheitsfirma Malwarebytes überzeugt. „Die wollten Sachen absichtlich stören.“ Weltweit zählte Malwarebytes bis Mittwoch 18000 Infektionen in rund 80 Ländern. Wie schon bei „WannaCry“ diente die eine einst vom US-Abhördienst NSA ausgenutzte Schwachstelle in älteren Windows-Betriebssystemen als ein Einfalltor. Es sei traurig, dass auch nach dem „WannaCry“-Weckruf immer noch nicht alle die Lücke per Update geschlossen hätten, sagt Husemann. (dpa)