Die Ransomware "Wanna Cry" auf dem Computer in einem britischen Krankenhaus. | Bildquelle: dpa

"Wanna Cry" "Angriffstool aus dem Waffenschrank der NSA"

Stand: 13.05.2017 23:30 Uhr

Experten gehen davon aus, dass die Schadsoftware "Wanna Cry" wohl eine Sicherheitslücke nutzte, die von der NSA entdeckt worden war. Der US-Auslandsgeheimdienst habe sie jedoch bewusst verschwiegen, sagt Linus Neumann vom Chaos Computer Club.

Von Jenny Stern, BR

Jenny Stern  Logo BR
Jenny Stern, BR

Auf den Bildschirmen zehntausender Nutzer auf der ganzen Welt poppte am Freitagabend ein Dialogfenster auf mit dem Hinweis "Ups, deine Daten wurden verschlüsselt". Nur wer 300 Dollar in der Internet-Währung Bitcoin zahle, käme wieder an sie heran. Die Schadsoftware "Wanna Cry", auch bekannt als "Wanna Decryptor", breitete sich deshalb so rasend schnell aus, weil es eine sogenannte "Remote Code Execution"-Lücke nutzte. Computer könnten damit aus der Ferne und ohne weitere Interaktion des Nutzers gekapert werden, sagt Linus Neumann vom Chaos Computer Club.

Was ist Ransomware?

Die Angreifer haben eine Sicherheitslücke im Betriebssystem Windows ausgenutzt, um sogenannte Ransomware auf die Netzwerke ihrer Opfer einzuschleusen. Das ist eine Schadsoftware, die Inhalte auf dem Rechner verschlüsselt und ein Lösegeld für die Wiederherstellung fordert.

Von der NSA entdeckt und verheimlicht

Neumann geht davon aus, dass die NSA die Sicherheitslücke entdeckt oder Infos darüber auf dem Schwarzmarkt gekauft habe. Doch statt Microsoft darüber in Kenntnis zu setzen, habe die NSA ein passendes Angriffstool geschrieben, kritisiert der CCC-Sprecher.

Das NSA-Tool "EternalBlue", das Neumann für den aktuellen Cyberangriff mitverantwortlich macht, wurde am 14. April publik. Eine unbekannte Gruppe, die sich "The Shadow Brokers" nennt, hatte seit August 2016 regelmäßig gestohlene technische Informationen des US-Auslandsgeheimdienstes veröffentlicht. Neumann bezeichnet diese deshalb als "Angriffstools aus dem Waffenschrank der NSA". Offenbar machten sich die Hacker der aktuellen Attacke, von denen noch niemand sagen kann, wer sie sind, dieses Wissen zunutze, als sie "Wanna Cry" programmierten.

Darüber, wer die "Shadow Brokers" sind und was sie wollen, wird laut Neumann viel spekuliert. Fest stehe nur, dass sie der NSA mit der Veröffentlichung der Angriffstools schaden und deren Macht einschränken wollen. Genau einen Monat vor dem "EternalBlue"-Leak, im März 2017, hatte Microsoft die genannten Schwachstellen durch ein Sicherheitsupdate gestopft. Laut Neumann ist bis heute aber unklar, ob die NSA oder die "Shadow Brokers" das Unternehmen im Vorfeld informiert hatten.

Denkbar, aber nicht bewiesen

Dass die Software von der NSA stamme, sei denkbar, aber nicht bewiesen, sagt der WDR-Netzexperte Jörg Schieb. Er ist sich aber ebenfalls sicher, dass der US-Auslandsgeheimdienst die Lücke gekannt und nicht gemeldet habe. "Die NSA kennt sehr viele Sicherheitslücken und versucht sie natürlich, geheim zu halten", sagt er. "Damit diese Sicherheitslücken von der NSA ausgenutzt werden können, zum Beispiel um Leute abzuhören."

CCC-Sprecher Neumann wirft der NSA vor, damit Millionen Rechner weltweit in Gefahr gebracht zu haben. Auch kriminelle oder feindliche Geheimdienste hätten sie nutzen können. Dass die NSA nicht reagierte, um die Systeme selber befallen zu können, bezeichnet Neumann als "fundamental falsch": "Das Schadenspotenzial steht in keinem Verhältnis zu den Zielen der Geheimdienste."

Wie kann man sich schützen?

Nutzer, die dem aktuellen Angriff durch "Wanna Cry" zum Opfer gefallen sind, haben das Microsoft-Update vom März nicht auf ihren Rechnern eingespielt. Neumann rät deshalb, zeitnah alle erhältlichen Sicherheitsupdates zu installieren und regelmäßig Backups wichtiger Dateien anzulegen. Nur so könnten Nutzer ihre Daten wieder herstellen, ohne Erpresser dafür bezahlen zu müssen.

Über dieses Thema berichteten am 13. Mai 2017 MDR aktuell um 16:00 Uhr und die tagesthemen um 22:15 Uhr.

Darstellung: