Es war wie eine Computer-Epidemie: Innerhalb eines Tages verbreitete sich der Erpressung-Trojaner Wannacry auf über 200.000 Windows-Rechner auf dem ganzen Globus und erpresste die Besitzer. Nur durch Zufall konnte er gestoppt werden. Die Täter nutzen ein im Netz aufgetauchtes NSA-Wekzeug für den Angriff. Davon gibt es noch mehr - und sie werden wohl für eine noch viel größere Attacke genutzt.
"Die Welt macht sich wegen Wannacry verrückt, aber im Vergleich zu Wannacry ist das hier eine Atombombe", warnt der Sicherheits-Experte Golan Ben-Oni in einem Artikel der "New York Times". Zeitgleich mit Wannacry entdeckte er einen viel drastischeren Angriff auf die Server seines Arbeitgebers, dem Internet-Bezahldienst IDT. Seitdem ist er auf Ochsentour, um die Welt vor der gigantischen Bedrohung zu warnen. Cyberattacke trifft weltweit Ziele
NSA-Werkzeuge als Waffe
Auch sie beruht auf den NSA-Werkzeugen, die eine Gruppe namens "Shadow Broker" im April ins Internet stellten. Die Attacke basierte auf der gleichen Sicherheitslücke wie Wannacry - nutzt sie aber nur als Einfalltor für die echte Attacke. Für die wird ein zweites NSA-Tool namens "DoublePulsar" benutzt. Und das ist um Längen gefährlicher.
Während sich Wannacry auf Ebene des Betriebssystems bewegt und deshalb von Antivirensoftware erwischt werden kann, geht "Doublepulsar" eine Ebene höher. Es schleicht sich direkt in die Schnittstelle zwischen Soft- und Hardware ein, dem sogenannten Kernel. Hier kann es schalten und walten, wie es möchte - und ist für Antivirenprogramme und andere Schutzmaßnahmen nicht zu entdecken. Zudem kann die Lücke auch von Dritten genutzt werden, wenn sie einmal installiert ist.Wannacry Nordkorea 12.29
Zufallsfund
Im Falle von IDT stahlen die Angreifer etwa Unmengen von Einlog-Daten der Mitarbeiter. So konnten sie direkt auf die anderen System zugreifen und immer mehr infizieren. Ben-Oni selbst stolperte nur durch Zufall über den Angriff. Eine externe Mitarbeiterin hatte sich gemeldet, weil IDT-Daten auf ihrem Rechner verschlüsselt worden waren.
Ben-Oni kam die Angriffszeit etwa eine knappe Stunde vor dem Wochends-Feierabend am Freitag merkwürdig vor. Zudem war der Firmenzugang durch das Privatmodem befallen worden. Als er sich den Fall ansah, entdeckte er, dass die Erpressung nur eine Vertuschungsmaßnahme für den echten Angriff auf die Firma war.WannaCry-Porträt 14.30
Zehntausende Firmen betroffen
Seitdem hat der Experte mit 107 Sicherheitsexperten der wichtigsten Unternehmen gesprochen, von Google bis Microsoft. Nur Amazon hatte ebenfalls den Angriff bemerkt. Selbst Antiviren-Hersteller wie McAfee wussten von nicht. Scans nach dem Einfalltor deuten darauf hin, dass Zehntausende Firmen von der Attacke betroffen sind und es immer noch nicht entdeckt haben. "Man kann sie nicht erwischen - und es passiert direkt vor unserer Nase."
Wer hinter dem Angriff steckt, ist völlig offen. Die Werkzeuge sind im Netz frei verfügbar, theoretisch könnte jeder Hackergruppe dahinterstecken. Als Motive sind von Industriespionage über Erpressung bis zum tatsächlichen Cyberkrieg alles denkbar. Immerhin hängen auch Infrastruktur-kritische Unternehmen wie Krankenhäuser und Stromwerke am Internet, warnt Ben-Oni.Hack-Kommentar 18.15h
FBI ist mit Wannacry beschäftigt
Das FBI kann sich aktuell nicht mit dem Fall befassen, sagte man Ben-Oni. Die US-Bundespolizei hatte sich Ben-Onis Fall angesehen. Da man sich aber voll auf Wannacry konzentriere und es hier um einen anderen Fall handle, könne man ihm nicht helfen.
Die Lage könnte noch schlimmer werden. Die Shadow Broker haben bereits angekündigt, weitere NSA-Werkzeuge verkaufen zu wollen. Die Angriffsprogramme des US-Geheimdienstes gelten als fortgeschrittenste Cyberwaffen der Welt. Die Kriminellen bieten den Zugang zu den Waffen als Flatrate an - im monatlichen Abo. "Man muss verstehen - das ist wirklich ein Krieg", erklärt Ben-Oni. Für ihn geht es deshalb um alles: "Ich sehe es als lebensbedrohliche Situation. Heute werden wir angegriffen - morgen könnte es jemand anders sein."