zur Navigation springen

„Petya“-Software? : Neuer Cyberangriff stiftet Chaos bei Beiersdorf in Hamburg

vom

„WannaCry“ hat sich zwar schneller verbreitet, doch die neue Schadsoftware betrifft mehr international agierende Firmen.

shz.de von
erstellt am 28.Jun.2017 | 09:50 Uhr

Berlin/Hamburg | Die jüngste weltweite Cyber-Attacke hat auch den Nivea-Hersteller Beiersdorf getroffen. Es habe am Dienstag einen Ausfall der IT und der Telefonanlage gegeben, sagte eine Beiersdorf-Sprecherin am Mittwoch in Hamburg und bestätigte damit entsprechende Medieninformationen vom Vortag. Neben der Zentrale in der Hansestadt seien auch weltweit Standorte betroffen. Es werde mit Hochdruck daran gearbeitet, die Systeme wieder normal zum Laufen zu bringen.

Die Software konnte unter anderem durch eine Windows-Schwachstelle auf die betroffenen Rechner gelangen, die ursprünglich vom US-Abhördienst NSA ausgenutzt wurde. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt - doch das scheinen viele Firmen noch immer nicht installiert zu haben.

Beiersdorf werde die Auswirkungen auf die Kunden und Geschäftspartner so gering wie möglich halten, ergänzte die Sprecherin. Den entstandenen Schaden konnte sie noch nicht beziffern, dazu sei es zu früh.

Die Schadsoftware verbreitete sich am Dienstag nicht nur über die Windows-Sicherheitslücke wie im der Trojaner „WannaCry“, der in Mai Hunderttausende Windows-Computer in über 150 Ländern infizierte, sondern fand auch einen weiteren Weg, Computer innerhalb eines Netzwerks anzustecken. Wie schwer die neue Attacke das Geschäft einiger betroffener Unternehmen wie die der dänischen Reederei Maersk beeinträchtigen wird, blieb zunächst weiter unklar. Unterdessen sehen Experten Hinweise darauf, dass die Angreifer eher auf Chaos und nicht Profit aus waren.

Eine Theorie, die Dirk Kretzschmar, IT-Sicherheitsexperte und Geschäftsführer der TÜV-Nord-Tochter TÜViT, so nicht teilt. Zwar sehe auch er nicht das Erpressen von Lösegeld als Kern des Angriffs. Er vermutet hinter dem Angriff aber mehr als Chaos, nämlich einen Testlauf für künftige Attacken. Ziel der Angreifer sei vielmehr herauszufinden, wie sie bestehende Strukturen manipulieren könnten. Die jüngsten Angriffe hätten eine neue Dimension, die auf organisiertes Verbrechen oder Regierungsbeteiligung hindeute.

Während Erpressungstrojaner, die Computer verschlüsseln und Lösegeld für die Freischaltung verlangen, ein eingespieltes Geschäftsmodell von Online-Kriminellen sind, war die Bezahlfunktion bei der neuen Attacke äußerst krude gestaltet. Die Angreifer verlangten zwar 300 Dollar in der Cyberwährung Bitcoin. Alles Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr zog, wurde es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmorgen gingen nur 35 Zahlungen auf dem Bitcoin-Konto ein.

Die russische IT-Sicherheitsfirma Kaspersky verzeichnete am Dienstag rund 2000 erfolgreiche Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Dänemark, Polen, Italien, Großbritannien, Frankreich und den USA. Der neue Angriff breitete sich damit langsamer aus als der „WannaCry“-Trojaner, der binnen eines Tages hunderttausende Computer befiel - aber er zog mehr international agierende Unternehmen in Mitleidenschaft.

Betroffen waren unter anderem auch der US-Pharmakonzern Merck, die französische Bahn SNCF, der Lebensmittel-Riese Mondelez („Milka“, „Oreo“), der russische Ölkonzern Rosneft.

IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Software sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software „Petya“. Kaspersky kam hingegen zu dem Schluss, es sei keine „Petya“-Variante, sondern eine neue Software, die sich nur als „Petya“ tarne.

Auch der deutsche Softwarehersteller Avira bestätigt, dass eine Angriffswelle mit dem Erpressungstrojaner „Petya“ laufe, für die die Lücke namens „Eternal Blue“ ausgenutzt werde.

Unterdessen konnte die ukrainische Cyberpolizei zwei Angriffsmethoden identifizieren. Hauptsächlich seien am Dienstagvormittag Computer über die automatische Updatefunktion einer verbreiteten Buchhaltungssoftware manipuliert worden, teilte die Behörde mit. Anschließend habe sich das Schadprogramm über die bekannte Sicherheitslücke in älteren Windows-Systemen in den Netzwerken verbreitet.

Die betroffene Firma wies die Vorwürfe zurück, hatte allerdings im Mai selbst vor manipulierten Updates gewarnt. Darüber hinaus schloss die Polizei auch eine Verbreitung über sogenannte Phishing-Mails mit enthaltenen Download-Links nicht aus. Als Vorsichtsmaßnahme empfahl sie unter anderem die Abschaltung des betroffenen Protokolls.

Besonders hart traf es Unternehmen und Behörden in der Ukraine, hier vermutet das BSI auch den Ursprung der Cyber-Attacke. Meldungen zufolge ist die Schadsoftware über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc verteilt worden.

An der Ruine des ukrainischen Katastrophen-Atomkraftwerks Tschernobyl musste die Radioaktivität nach dem Ausfall von Windows-Computern manuell gemessen werden. Die ukrainische Zentralbank warnte vor einer Attacke mit einem „unbekannten Virus“, auch der Internetauftritt der Regierung war betroffen.

Falk Garbsch, der Sprecher Chaos Computer Clubs, sagte im Inforadio des RBB, der neue Virus setzte nicht nur auf die Sicherheitslücke, die bereits von der NSA ausgenutzt wurde, sondern auch auf andere Lücken. „Das ist der Grund, warum sich dieser Virus auch auf Windows 10 Systemen weiterverbreiten kann, sich durch große Netzwerke fräst und da quasi alles mitnimmt, was er irgendwie runterreißen kann.“ Es reiche im Zweifelsfall aus, dass ein einzelner Rechner in einem Firmennetzwerk infiziert werde.

Garbsch forderte ein Umdenken in der Digitalpolitik. In der vergangenen Woche sei „das Staatstrojaner-Gesetz durch den Bundestag geprügelt“ worden. „Das ist ein Gesetz, das damit spielt, dass Sicherheitslücken durch Staaten geheim gehalten werden. (...) Und das muss aufhören. Solange wir diesen Kurs folgen, solange wir diese IT-Sicherheitspolitik weiter betreiben, dass Staaten Sicherheitslücken horten, müssen wir damit rechnen, dass das regelmäßig passiert.“

Was Sie tun können, um Ihren Computer vor Schadsoftwares zu schützen, erfahren Sie hier.

zur Startseite

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen