Ein IT-Experte konnte das Schadprogramm mit einem Trick abschalten.
Bei der weltweiten Cyber-Attacke mit Schadsoftware sind erste Meldungen von betroffenen Firmen in Österreich eingegangen. Es gebe vorerst "weniger als ein Dutzend Fälle", sagte Vincenz Kriegs-Au, Pressesprecher des Bundeskriminalamts (BK), am Samstagnachmittag. Angegriffen wurden demnach Unternehmen aus verschiedenen Branchen - etwa ein Hotel und ein Technologie-Unternehmen.
Betroffene Personen oder Unternehmen sollten auf jeden Fall Anzeige erstatten, betonte Kriegs-Au. "Wir können nur mit jenen Daten arbeiten, die wir bekommen", sagte der Sprecher. Die Schadsoftware sollte am besten auf einem USB-Stick oder einer externen Festplatte sichergestellt werden. Außerdem sind Screenshots hilfreich.
"Von einer Bezahlung des geforderten Lösegeldes wird unsererseits abgeraten", fügte Kriegs-Au hinzu. Wenn schon etwas bezahlt wurde, dann solle die "Wallet-Adresse" der Bitcoins gesichert werden. Diese könne entweder fotografiert oder aufgeschrieben werden.
Eine weltweite Welle von Cyber-Attacken hatte zehntausende Computer von Unternehmen, Behörden und Verbrauchern getroffen. In Deutschland erwischte es Rechner bei der Deutschen Bahn - Fahrgäste fotografierten Anzeigentafeln mit Fehlermeldungen. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefonica betroffen und in den USA den Versanddienst FedEx.
Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Dabei wurde Experten zufolge eine Sicherheitslücke ausgenutzt, die ursprünglich vom US-Abhördienst NSA entdeckt worden war, aber vor einigen Monaten von Hackern öffentlich gemacht wurde. Die Schwachstelle wurde zwar bereits im März von Microsoft grundsätzlich geschlossen - aber geschützt waren nur Computer, auf denen das Update installiert wurde.
Auch Deutsche Bahn betroffen
Die IT-Sicherheitsfirma Avast entdeckte rund 75.000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, der Ukraine und Taiwan. Ihre Kollegen von Kaspersky Lab sprachen zuvor von zwischenzeitlich 45.000 Angriffen in 74 Ländern. Es sei eindeutig eine weltweite Attacke mit Meldungen über befallene Computer aus diversen europäischen Ländern, Russland und auch Asien, sagte Helge Husemann von der IT-Sicherheitsfirma Malwarebytes der Deutschen Presse-Agentur.
Die Bahn teilte in der Nacht zum Samstag auf ihrer Website mit, es gebe es wegen "eines Trojanerangriffs im Bereich der DB Netz AG" Systemausfälle in verschiedenen Bereichen. "Zugverkehr ist weiterhin möglich", hieß es.
Krankenhäuser lahmgelegt
In Großbritannien waren Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Insgesamt gehe es um 16 NHS-Einrichtungen. Computer seien zum Teil vorsorglich heruntergefahren worden, um Schäden zu vermeiden. Patienten wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Zum Teil mussten Patienten in andere Krankenhäuser umgeleitet werden.
Experte stoppt Schadprogramm
IT-Sicherheitsexperten haben nach eigenen Angaben einen "Notschalter" entdeckt, der die Verbreitung der erpresserischen Schadsoftware Wanna Decryptor zunächst stoppen kann.
Wie ein Experte der Plattform MalwareTechBlog am Samstag der Nachrichtenagentur AFP über den Kurzbotschaftendienst Twitter mitteilte, führt die Registrierung eines von dem Trojaner genutzten Domain-Namens dazu, dass sich das Virus Wanna Decryptor, auch WCry oder WannaCry, nicht mehr weiterverbreitet.
Er sei zufällig auf den "Schalter" gestoßen, schrieb der IT-Fachmann. Die Schadsoftware "stützt sich hauptsächlich auf eine nicht registrierte Domain, und als wie sie registriert haben, haben wir die Verbreitung der Schadsoftware gestoppt", schrieb @MalwareTechBlog bei Twitter. Werde dieser Vorgang nicht wieder rückgängig gemacht, "wird dieser eine Stamm keinen Schaden mehr anrichten".
Es sei jedoch dringend erforderlich, Sicherheitslücken in Computersicherheitssystemen so schnell wie möglich mit Updates zu schließen, riet der Experte. "Die Krise ist nicht vorbei, sie können den Code jederzeit ändern und es wieder versuchen." Bei bereits von dem Virus infizierten Computer helfe der "Notschalter" allerdings nicht mehr.
