1. Wie kam es zum Angriff?

Cyberkriminelle haben eine Schadsoftware namens «WannaCry» in Umlauf gebracht, die auf Festplatten gespeicherte Daten verschlüsselt. Das können Dokumente oder Fotos von Privatnutzern sein, aber auch Patientendaten in Spitälern. Die Kriminellen fordern ein Lösegeld für die Daten und versprechen, die Festplatte wieder zu entschlüsseln, wenn ihren Forderungen nachgekommen wird.

2. Sind solche Erpressungen neu?

Nein, Ransomware, wie man die Erpressungstrojaner nennt, haben sich in den letzten Jahren zunehmend verbreitet. «Der Unterschied zu bisherigen Angriffen ist aber, dass sich die Schadsoftware selbstständig übers Internet als Wurm verbreitet», erklärt Candid Wüest von der IT-Sicherheitsfirma Symantec. Die Angreifer haben dafür eine Sicherheitslücke im Betriebssystem Windows ausgenutzt. Sofern die Software nicht auf dem neusten Stand und der Computer mit dem Netz verbunden ist, kann der Trojaner auf dem eigenen Rechner aktiv werden. Dafür ist es nicht einmal nötig, dass der Nutzer eine dubiose E-Mail öffnet.

3. Konnte die Attacke inzwischen gestoppt werden?

Einem jungen IT-Sicherheitsforscher gelang es am Sonntag, die Verbreitung des Computerwurms vorerst zu unterbinden. Er fand heraus, dass im Schadcode eine Art Notfallschalter eingebaut ist. Sobald ein Rechner infiziert worden ist, versucht er, Kontakt zu einer noch nicht registrierten Website aufzunehmen. Gelingt dies nicht, startet die Schadsoftware. Der Forscher liess die Website registrieren, was zur Folge hatte, dass die Schadsoftware nicht mehr aktiviert wurde. Gemäss Thomas Uhlemann von der IT-Sicherheitsfirma ESET «sind nun aber bereits Varianten der Malware im Umsatz, denen der Killswitch fehlt».

4. Geht die Attacke also doch weiter?

Einige Experten fürchten, dass es nun zu einer zweiten Angriffswelle kommen wird (ohne Killswitch). Bis zu Redaktionsschluss blieb diese aber aus. Die Windows-Nutzer dürften ihre Systeme in Zwischenzeit upgedatet haben – auch jene, die noch das veraltete Windows XP verwendeten. Für dieses hat Microsoft nämlich den Support eigentlich schon letztes Jahr eingestellt, nun übers Wochenende aber zügig reagiert und einen Patch entwickelt.

5. Alles gut also?

Gut möglich, dass «WannaCry» keinen grösseren Schaden mehr anrichten wird. Doch weitere Angriffe mit Erpressungstrojanern werden mit Sicherheit folgen. «Für Hacker ist das eine Möglichkeit, aus ihren Angriffen rasch Profit zu machen», sagt Marc Ruef von der Sicherheitsfirma Scip. Dass weitere Angriffswellen, die, nach diesem Muster aufgebaut sind, folgen werden, davon gehen Ruef aus.

6. Wie viel Geld konnten die Angreifer erbeuten?

Bis Redaktionsschluss wurden 55 000 Dollar in der digitalen Währung Bitcoin eingezahlt. Die Erpresser forderten jeweils 300 Dollar Lösegeld. Bei 200 000 infizierten Rechnern, ist das eher eine magere Ausbeute. Das Geld ist noch immer auf anonymen Bitcoin-Konten geparkt. «Das ist untypisch», sagt Candid Wüest von Symantec. Normalerweise werde das erbeutete Geld von den Hackern über Online-Casinos gewaschen, sodass der Geldfluss nicht mehr nachverfolgt werden kann. Sofern die Angreifer keine Fehler gemacht haben und stets Anonymisierungstools verwendet haben, sei es fast unmöglich, sie aufgrund von digitalen Spuren zu identifizieren.

7. Wie konnten die Angreifer die Schadsoftware programmieren?

«Die Malware basiert auf einer Sicherheitslücke der NSA», sagt IT-Sicherheitsexperte Marc Ruef. Geheimdienste klappern Betriebssysteme nach solchen Lücken ab oder kaufen die entsprechende Software auf dem Schwarzmarkt ein, um etwa in Computersysteme von Terroristen einzudringen. Vor einem Monat hat die Gruppe «The Shadow Brokers» die Sicherheitslücke publik gemacht, Ob das anonyme Kollektiv die wertvolle Information selber bei der NSA erbeutet hat oder über einen Informanten in den Besitz gekommen ist, das ist unklar. Bereits zuvor hat Microsoft die Sicherheitslücke gestopft. Zu vermuten ist, dass der Konzern informiert worden ist, dass die Lücke existiert und bald im Internet auftauchen wird. Allerdings wurde bis zu diesem Wochenende kein Update für das veraltete Programm Windows XP geschrieben.

8. Wie können Nutzer sich schützen?

Erstens sollen regelmässig Back-ups erstellt werden: Dafür eignet sich eine externe Festplatte, die nach dem Überschreiben der Daten wieder vom Netz getrennt wird; oder eine verschlüsselte Cloud wie etwa Dropbox. Zweitens soll die Software stets auf dem neusten Stand sein und es sollten keine veralteten Systeme verwendet werden, für die es keine Updates mehr gibt. Drittens: Sollen E-Mails von dubiosen Absendern nicht geöffnet werden. Viertens: Soll kein Lösegeld bezahlt werden, wenn es einen doch erwischt hat: Denn einerseits ist unklar, ob die Daten wirklich wieder hergestellt werden; andererseits wird Ransomware mit jeder erfolgreichen Erpressung bei Hackern populärer.