"Wanna-Cry": Wanna-Cry: So funktioniert der riesige Computer-Virus

Halle (Saale) - Jeder Punkt ein Angriff. In Europa, Russland und an der chinesischen Ostküste häufen sich die blauen Punkte. Sie stehen für Tatorte an denen der Computer-Virus „Wanna-Cry“ zugeschlagen hat. Donnerstagnachmittag waren mehr als 302 000 Computer in 150 Ländern betroffen - von Shanghai bis in die Altmark.

Auf der Internetseite www.intel.malwaretech.com kann die Ausbreitung in Echtzeit verfolgt werden. Am vergangenen Freitag war der Virus zunächst in britischen Krankenhäusern festgestellt worden. Tausende Patientenakten waren nicht mehr verfügbar. In den Medien war schnell von einem „Angriff auf das britische Gesundheitswesen“ die Rede. War dem so? Oder versäumten die Krankenhausbetreiber auch nur grundlegende Sicherheitsmaßnahmen für ihre Computersysteme vorzunehmen? Nach einer Woche liegen viele Fakten vor, um Einschätzungen zu treffen.

Den Sicherheitsexperten des halleschen IT-Dienstleisters Gisa ist bereits Donnerstag vor einer Woche aufgefallen, dass weltweit mehr Schadsoftware im Internet unterwegs war. Die Hallenser betreuen deutschlandweit die IT-Systeme von 270 Unternehmen. Nach Worten von Hendrik Nitz, IT-Sicherheitsbeauftragter der Gisa, sei relativ schnell klar gewesen, dass es sich bei dem Virus mit dem Namen „Wanna-Cry“ um einen sogenannten Kryptotrojaner handelt. „Von dieser Art gibt es viele. Meist werden sie per Mail verschickt.

Öffnet der Nutzer einen Link verschlüsselt das Virusprogramm die Daten auf dem Rechner“, erläutert Nitz. Die Computerkriminellen würden dann Geld für einen Entschlüsselungscode fordern. In den Medien wird daher oft von einem Erpressungstrojaner gesprochen. Das besondere bei „Wanna-Cry“ ist laut Steven Peter Beer, Leiter Team operative Sicherheit bei der Gisa, dass der Schädling, wenn er ein System infiziert hat, versucht, wie ein Wurm auch andere Rechner im gleichen Netz zu befallen.

Dazu nutzt „Wanna-Cry“ laut Beer eine Lücke im Microsoft Windows Dateifreigabesystem. Die Lücke war seit März bekannt. Die Hackergruppe namens „Shadow Brokers“ hatte sie veröffentlicht. Mehrere Medien spekulieren, dass der US-Geheimdienst NSA diese jahrelang genutzt hat. Bereits im März stellte Microsoft ein Update für Windows zur Verfügung, um die Sicherheitslücke zu schließen.

„Daher sind auch kaum Privatpersonen betroffen, da das Update meist automatisch auf deren Computer gespielt wird“, erläutert Beer. Für alte Versionen wie Windows XP seien aber erst vergangenen Samstag Updates geliefert worden.

Nach Angaben von Gisa-Sicherheitschef Nitz verfahren größere Unternehmen anders: „Ein Computersystem beispielsweise in einem großen Krankenhaus ist wie ein Fließband in der Autoproduktion. Es ist ständig in Betrieb und lässt sich nicht so einfach für ein Sicherheitsupdate anhalten.“ Dafür seien nur bestimmte Zeiten vorgesehen. „Oft reicht es auch aus, bestimmte Änderungen zeitlich verzögert vorzunehmen“, so Nitz.

Dazu müsse jedoch zuvor eine genaue Bedrohungsanalyse durchgeführt werden. Die Gisa hätte bei ihren Kunden bereits im März ein Update vorgenommen. Die Deutsche Bahn oder der französische Autobauer Renault haben das zumindest für einen Teil ihrer Software offensichtlich versäumt. Sie waren daher von der Virus-Attacke betroffen.

Viel Geld hat „Wanna-Cry“ seinen bisher unbekannten Schöpfern aber noch nicht eingebracht. In verschiedenen Medienberichten kursieren Zahlen von 30 000 bis 70 000 US-Dollar. Zwar sind die Daten ohne den Verschlüsselungscode verloren, doch viele Unternehmen können den Schaden dennoch relativ schnell beheben.

„Das Allerwichtigste für Firmen aber auch Privatpersonen ist, dass Backups bestehen“, sagt Nitz. Das seien Kopien der vorhandenen Daten auf einem externen Datenträger wie einem USB-Stick oder einer Festplatte. Diese könnten ohne Probleme die verschlüsselten Daten ersetzen. „Verloren sind dann nur die Daten seit dem letzten Backup“, so der IT-Experte. Große Unternehmen würden von sensiblen Daten daher ständig Sicherheitskopien anlegen. Viele der betroffenen Firmen werden nun diese Backups nutzen, um ihre Systeme wieder zum Laufen zu bringen. Doch das kostet auch Zeit und Geld. (mz)