Aktualisiert 15.05.2017 13:19

«Wanna Cry»«Die Atombombe unter der Schadsoftware»

So rasant wie «Wanna Cry» hat sich bisher keine andere Ransomware verbreitet. Ein Sicherheitsexperte über die Tätersuche und einen Hoffnungsschimmer.

von
tob
1 / 7
«Ich bin kein Held»: IT-Experte Marcus Hutchins, der «Wanna Cry» stoppte. (15. Mai 2017)

«Ich bin kein Held»: IT-Experte Marcus Hutchins, der «Wanna Cry» stoppte. (15. Mai 2017)

Keystone/Frank Augstein
Wie viele Systeme vom Hackerangriff tatsächlich betroffen sind, wird sich wohl erst in den nächsten Tagen klären. In der Schweiz geht man bis anhin von 200 Computern aus. (Archivbild)

Wie viele Systeme vom Hackerangriff tatsächlich betroffen sind, wird sich wohl erst in den nächsten Tagen klären. In der Schweiz geht man bis anhin von 200 Computern aus. (Archivbild)

AFP/Damien Meyer
Diese Nachricht erscheint auf dem Bildschirm von Betroffenen.

Diese Nachricht erscheint auf dem Bildschirm von Betroffenen.

Keystone/Ritchie B. Tongo

Die Ransomware «Wanna Cry» hat innerhalb von Tagen mehr als 200'000 Computer in über 150 Ländern infiziert, darunter 200 Systeme in der Schweiz. Die Malware infiziert Windows-PCs und verschlüsselt dabei Dateien. Dann fordern Cyberkriminelle ein Lösegeld, das mit der Kryptowährung Bitcoin zu bezahlen ist. Bisher haben sie mit der Attacke rund 45'000 US-Dollar erpresst. Ein US-Sicherheitsforscher hat das Programm als «Atombombe unter der Ransomware» bezeichnet. Im Code finden sich Teile der Spionage-Software der NSA, die im März von Hackern veröffentlicht wurde.

Zwar hatte Microsoft die Lücke damals bereits geschlossen und sogar ein Notfall-Update für das nicht mehr unterstützte Windows XP zur Verfügung gestellt. Die Patches wurden aber offenbar nicht auf allen anfälligen Systemen installiert. 20 Minuten hat mit Marc Ruef, Sicherheitsforscher bei der Zürcher Firma Scip AG, über den aktuellen Fall gesprochen.

Herr Ruef, ein 22-jähriger Sicherheitsforscher hat am Wochenende mit der Registrierung einer Domain eine Art Notbremse gezogen. Ist die Angriffswelle damit nun vorbei?

Die Entwickler der Malware wollten die Möglichkeit haben, die Ausbreitung unterbinden zu können. Zu diesem Zweck sollte sich die Malware jeweils mit einer Website verbinden. Falls diese ansprechbar war, wurde auf eine Infektion verzichtet. So der Plan. Die dafür genutzte Domain war jedoch noch nicht registriert. Das holte der junge IT-Experte nach und konnte so eine weitere Verbreitung eindämmen. Mit geringem Aufwand ist es jedoch möglich, eine neue Variante der Malware in Umlauf zu bringen, die eine andere Domain ansteuert oder ganz auf eine solche Notbremse, Killswitch genannt, verzichtet.

Ist eine solche bereits im Umlauf?

Es gab tatsächlich Gerüchte, dass eine solche schon in Umlauf sei. Der erste Tweet, der dies behauptet hat, wurde aber kurze Zeit nach der Veröffentlichung wieder gelöscht. Momentan gibt es keine gesicherten Informationen hierzu.

Wie ist die Attacke einzuordnen? Gab es Vergleichbares in der Vergangenheit?

Es gab in der Vergangenheit mehrere Malware-Attacken, die aufgrund ihrer Verbreitung und Auswirkungen als historisch relevant gelten. Dazu gehören im Windows-Umfeld zum Beispiel der Conficker- und der Blaster-Wurm. Diese Malware-Wellen haben sich in erster Linie auf die Schädigung und das Abschiessen von Systemen konzentriert. Sie hatten keinen direkten monetären Hintergrund. Mit «Wanna Cry» wurde jedoch zum ersten Mal ein solches Ausmass mit einer Ransomware erreicht. Diese ist darum bemüht, Geld von den Opfern zu erpressen.

Wird es möglich sein, die Drahtzieher ausfindig zu machen?

Irgendwo muss die Malware freigelassen worden sein. Falls dieser Zeitpunkt und das dafür genutzte System identifiziert werden können, lassen sich die Urheber identifizieren. Manchmal finden sich auch im Code von Malware entsprechende Hinweise zu den Drahtziehern. Oder man beobachtet die Bitcoin-Transaktionen und kann über diese herausfinden, wohin das Geld fliesst. Alle Ansätze sind jedoch mit hohem Aufwand verbunden und setzen voraus, dass die Cyberkriminellen Fehler gemacht haben oder noch machen werden. Es kann also auch durchaus sein, dass man die Drahtzieher nie identifizieren wird.

Die Bezahlung des Lösegelds läuft über Bitcoin. Auch im Darknet wird dieses Zahlungsmittel neben anderen Kryptowährungen eingesetzt. Müsste man diese nicht verbieten? Wäre das überhaupt möglich?

Bitcoin ist eine Währung. Währungen zu verbieten, ist auf rechtlicher Ebene zwar möglich. Per Definition sind es aber genau die Kriminellen, die sich nicht daran halten werden. Ein technisches Durchsetzen eines Verbots ist praktisch unmöglich. Es liegt in der Natur von Bitcoin, dass das zugrunde liegende Konzept auf simplen Mechanismen basiert, die nicht einfach so unterbunden werden können. Und falls doch, dann weicht man halt auf eine andere Kryptowährung aus.

Wird es ein Decryption-Tool geben, mit dem Betroffene ihre Files wiederherstellen können, ohne Lösegeld zu bezahlen? Das war ja teilweise bei anderer Ransomware der Fall.

Momentan sind verschiedene Fake-Lösungen in Umlauf, die ihrerseits die Gutgläubigkeit der Leute ausnutzen, um selber eine Infektion durchsetzen zu können. Es ist durchaus möglich, dass es einen Decryptor geben wird. Es kann aber sein, dass eine Veröffentlichung noch Wochen auf sich warten lässt.

Wer ist Ihrer Meinung nach schuld an dem Desaster?

Das ist eine spannende Frage. Die Hauptschuld trifft zweifelsfrei die Malware-Entwickler, die mit kriminellen Absichten agieren. Eine Mitschuld trifft aber auch alle anderen: Die NSA hat Informationen zurückgehalten, die Hackergruppe Shadow Brokers hat diese Informationen uneingeschränkt öffentlich gemacht, Microsoft hat ein unsicheres System entwickelt und die Nutzer beziehungsweise IT-Abteilungen haben sich zu spät um das Risiko gekümmert. Mit der Zunahme der Komplexität und Verbreitung von Computersystemen werden wir diesen Effekt in Zukunft immer wieder sehen. Hier muss gesellschaftlich auf allen Ebenen ein Umdenken stattfinden.

So funktioniert eine Cyber-Attacke

Eine Cyber-Attacke hat weltweit Computer lahmgelegt. (Video: Tamedia/AP)

IT-Experte Ben Rapp erklärt, wie der Angriff ablief. (Video: Tamedia/AP)

Deine Meinung

Fehler gefunden?Jetzt melden.