| 21.38 Uhr

Auch Deutsche Bahn betroffen
BKA ermittelt nach weltweitem Cyberangriff

Cyberangriff mit Erpresser-Software - Bundeskriminalamt ermittelt
Offenbar haben die Hacker auch Trojaner in die Computer der Deutschen Bahn eingeschleust. Das Fahrgastinformationsystem arbeitet bundesweit fehlerhaft. FOTO: dpa, brx vge
Berlin. Tausende Behörden, Unternehmen und Einzelpersonen weltweit sind Opfer eines Hacker-Angriffs mit erpresserischer Schadsoftware geworden. Auch die Deutsche Bahn wurde von dem Trojaner erfasst. Das Bundeskriminalamt hat die Ermittlungen übernommen. 

Ein Sprecher des Bundesinnenministeriums in Berlin konnte zunächst keine Angaben zu möglichen Schäden in Deutschland machen. In der Nacht wurden auf Twitter jedoch Fotos von Bahn-Anzeigetafeln mit Fehlermeldungen veröffentlicht. Die Deutsche Bahn bestätigte dann am Morgen, ebenfalls von der Attacke betroffen zu sein.

"Das Fahrgastinformationssystem arbeitet durch den Angriff bundesweit fehlerhaft", sagte ein Bahnsprecher unserer Redaktion. "Wir arbeiten derzeit mit Hochdruck daran, die Störung zu beheben. Wie lange dies dauern wird, können wir noch nicht sagen." Der Zugverkehr sei aber nicht beeinträchtigt. Angaben zum genauen Zeitpunkt des Hackerangriffs oder zum weiteren Vorgehen machte der Sprecher nicht.

Bahn-Konzernchef Richard Lutz sagte später der "Bild am Sonntag", die Sicherheit des Bahnverkehrs sei "zu jedem Zeitpunkt gewährleistet" gewesen, "sicherheitsrelevante Systeme waren nicht betroffen". Das Früherkennungssystem der Bahn habe am Freitagabend wegen der Cyberattacke angeschlagen, erklärte Lutz. Die Bahn untersuche "mit Hochdruck", wie es zu der Attacke kommen konnte. "Fest steht, dass der Angriff durch E-Mails ausgelöst wurde", sagte der Konzernchef. Die Bahn fängt seinen Angaben zufolge jedes Jahr rund 150 Millionen Spam-Mails ab.

Unter anderem hatte der Trojaner Computer im britischen Gesundheitssystem und beim spanischen Telekommunikationsriesen Telefónica lahmgelegt, wie am Freitag bekannt geworden war. "Heute haben wir eine Serie von Cyberattacken gegen tausende Organisationen und Individuen in dutzenden Ländern erlebt", erklärte die britische Behörde für Cybersicherheit, NCSC. Sie mahnte zur Aktualisierung von Anti-Viren-Programmen. Auch das US-Heimatschutzministerium erklärte, es seien zahlreiche Berichte über Angriffe mit erpresserischer Schadsoftware eingegangen. Im russischen Innenministerium seien laut eines Sprechers ebenfalls Rechner gehackt worden. 

Dieses Dialogfeld war während der Cyber-Attacke auf den Monitoren betroffener Rechner zu sehen. FOTO: ap

In Deutschland ist der Angriff offenbar glimpflicher verlaufen: "Die Regierungsnetze sind von dem Angriff nicht betroffen", sagte Innenminister Thomas de Maiziere (CDU) am Samstag in Berlin. Zudem sprächen die jetzigen Erkenntnisse dafür, dass wer regelmäßig Software-Updates installiert habe, mit hoher Wahrscheinlichkeit einem Angriff entgehen konnte.

Wenn man sich die Zielrichtung der Attacken ansehe, sei man mit dem von ihm geplanten IT-Sicherheitsgesetz für kritische Infrastrukturen in Gesundheit, Transport und Finanzwesen auf dem richtigen Weg. Dem Innenministerium zufolge sind in Deutschland bislang nur die Deutsche Bahn und deren Logistik-Tochter Schenker betroffen

Attacke "beispiellosen Ausmaßes"

Bei dem seit Freitag laufenden weltweiten Hackerangriff handelt es sich der europäischen Polizeibehörde Europol zufolge um einen Vorfall "bislang beispiellosen Ausmaßes". Die Suche nach den Schuldigen erfordere eine "komplexe internationale Untersuchung", teilte Europol am Samstag im niederländischen Den Haag mit. 

Die Angreifer setzten im Betriebssystem Windows eine Schadsoftware ein, die Computerdaten verschlüsselt und nur gegen Geld wieder freigibt. Die IT-Sicherheitsfirma Kaspersky sprach von mindestens 45.000 Attacken in 74 Ländern. Jakub Kroustek von der Sicherheitsfirma Avast erklärte am Freitagabend, es habe 75.000 Attacken in 99 Ländern gegeben.

Cyber-Kriminalität - Ziele großer Hacker-Angriffe

Die ersten Angaben zu dem Cyberangriff kamen aus Großbritannien. Wie die britische Gesundheitsbehörde NHS mitteilte, waren insgesamt 16 Unternehmen im Gesundheitsbereich betroffen, von denen einige mehrere Krankenhäuser betreiben. Nach den Worten von Premierministerin Theresa May blieben Patientendaten von dem Angriff offenbar aber unberührt. Das Schadprogramm sorgte in vielen Krankenhäusern für Chaos. In einigen Fällen mussten Krankenwagen zu anderen Kliniken umdirigiert werden, andere Krankenhäuser forderten Patienten auf, sie nicht aufzusuchen.

Für das Chaos ist nach NHS-Angaben mutmaßlich das Virus Wanna Decryptor verantwortlich. Im Internet kursierten Aufnahmen von NHS-Computerbildschirmen mit der Botschaft "Ups, Deine Daten wurden verschlüsselt". Es folgte eine Lösegeldforderung in Höhe von 275 Euro, zahlbar in der Internet-Währung Bitcoin.

Opfer des Schadprogramms waren laut NHS auch Internet-Nutzer in Australien, Belgien, Frankreich, Italien, Mexiko und Deutschland. Betroffen waren unter anderem auch der Kurier- und Logistikkonzern Fedex in den USA.

Die Virus-Experten von Kaspersky Lab and Avast erklärten, dass Russland am schwersten betroffen war. Das russische Innenministerium bestätigte die Ransomware-Attacken, eine Sprecherin sagte der Nachrichtenagentur Interfax aber am Samstag, das Problem sei lokalisiert worden und keine Daten seien nach außen gelangt. Russland wurde in der Vergangenheit selbst für eine Reihe von Hackerattacken verantwortlich gemacht.

Cyberwar: Hackerangriffe auf den Staat

Sicherheitslücke war bekannt

Die Hacker nutzten offenbar eine Sicherheitslücke, die vom US-Auslandsgeheimdienst NSA entdeckt worden war - sie wurde in illegal weiterverbreiteten NSA-Dokumenten beschrieben. Laut dem Unternehmen Kaspersky wurden diese Informationen im April von einer Hackergruppe namens "Shadow Brokers" veröffentlicht, die behauptete, die Lücke durch den NSA entdeckt zu haben.

Microsoft hatte im März einen Software-Patch herausgegeben, der den Mechanismus der Weiterverbreitung der Schadsoftware verhindert. Den Experten zufolge wurde der Patch auf vielen Computern aber noch nicht installiert. Unter anderem das Bundesamt für Sicherheit in der Informationstechnik riet nun dringend zum Aufspielen dieses Sicherheitspatches.

Lance Cottrell von der US-Technologiefirma Ntrepid sagte, dass sich dieser Erpresser-Virus von einem Computer zum anderen ausbreiten kann, ohne dass eine E-Mail geöffnet oder ein Link angeklickt wird.

IT-Forscher wird "Held durch Zufall"

Laut Experten wurde die Attacke in der Nacht zum Samstag von einem IT-Forscher gestoppt. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Offensichtlich sei die Domain von den Angreifern als eine Art Notbremse für ihre Software gedacht gewesen, erklärte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung "Guardian".

Die Registrierung durch "MalwareTech" dämmte die Attacke ein, auch wenn sich damit für bereits befallene Rechner nichts änderte. Auch die IT-Sicherheitsfirma Malwarebytes stellte fest, dass mit der Anmeldung der Domain die Ausbreitung des Erpressungstrojaners gestoppt wurde.

Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. Er sei ein "Held durch Zufall", erklärte auch Kalember von Proofpoint.

(mro/hebu/AFP/dpa/ap)
 
Diskussion
Ihre Meinung zum Thema ist gefragt

Schreiben Sie jetzt Ihre Meinung zu:

Cyberangriff mit Erpresser-Software - Bundeskriminalamt ermittelt


Beachten Sie dabei bitte unsere Regeln für Leserkommentare.