Berlin. Banken, ein Flughafen, eine der weltgrößten Reedereien und die Strahlungsmessung an der Atomruine von Tschernobyl – die neue Attacke eines Erpressungstrojaners griff zwar nicht so flächendeckend um sich wie „Wannacry“ Mitte Mai. Aber die Liste der Opfer ist furchteinflößender.

Der zweite Angriff binnen gut sechs Wochen führt einmal mehr vor Augen, wie verwundbar die vernetzte Welt sein kann. Und dass sich selbst Großkonzerne, die viele Millionen für ihre Sicherheit ausgeben, nicht sicher fühlen können. Bei global agierenden Unternehmen wie der Reederei Maersk hat das weltweit spürbare Folgen, wenn etwa Container nicht entladen werden. Aber auch ein Krankenhaus im amerikanischen Pittsburgh wurde lahmgelegt.

Die Ukraine traf es am härtesten

Die neue Attacke wirft viele Fragen auf: Über welche Wege breitete sich die Erpressungssoftware aus, dass es diesmal viele Unternehmen, aber wenige Verbraucher traf? Warum scheinen die Angreifer so wenig an den Lösegeldzahlungen interessiert zu sein? Wer könnte dahinterstecken?

Was man weiß, ist, dass es die Ukraine zuerst und am härtesten traf. Der dortige Steuersoftwareanbieter Me-Doc gilt einigen IT-Sicherheitsexperten als „Victim Zero“ – das erste Opfer, über das sich die Infektion ausbreitete. Möglicherweise über ein manipuliertes Update der Me-Doc-Software. Das könnte erklären, warum es in dem Land ein Unternehmen nach dem anderen traf.

Opfer sollten sich per E-Mail melden

Die Software verschlüsselt die Festplatte von Computern und fordert Lösegeld für die Freischaltung. Das ist ein lukratives Geschäft, das Internetkriminellen Millionen Dollar einbringen kann. Doch der Angriff von Dienstag war schon ungewöhnlich, weil die enorme Durchschlagskraft der Schadsoftware mit einer seltsamen Nachlässigkeit beim Geldeintreiben gepaart war.

Opfer sollten sich nach dem Bezahlen per E-Mail bei den Angreifern melden. Die Adresse beim deutschen E-Mail-Dienst Posteo wurde schnell blockiert. Bis Mittwochmittag zeigte die Bitcoin-Börse der Angreifer nur 42 Geldeingänge an. So gehe man nicht vor, wenn man Geld verdienen wolle, sagt Helge Husemann von der IT-Sicherheitsfirma Malwarebytes. „Die wollten Sachen absichtlich stören.“

Windows-Schwachstelle als Einfallstor

Weltweit zählte Malwarebytes 18 000 Infektionen in rund 80 Ländern. Wie schon bei „Wannacry“ diente die eine einst vom US-Abhördienst NSA ausgenutzte Schwachstelle in älteren Windows-Betriebssystemen als ein Einfalltor. Es sei zwar traurig, dass auch nach dem „Wannacry“-Weckruf immer noch nicht alle die Lücke per Update geschlossen hätten, sagt Husemann. „Aber wenn dieses Ding vor sechs Wochen losgegangen wäre, hätte ,Wannacry‘ dagegen wie ein Kinderstreich ausgesehen.“

Ein einziger Computer im Unternehmen könne reichen, um ein ganzen Netzwerk zu infizieren. Und „Wannacry“ hatte mehrere Hunderttausend Rechner erfasst. Die Tür für Angreifer steht vielerorts weiter offen: Der Antivirusspezialist Avast entdeckte bei einem Sicherheitscheck vergangene Woche noch 38 Millionen PCs, auf denen die Schwachstelle nicht gestopft war.

Das Problem hat noch keinen Namen

In Deutschland bringt die Attacke wieder die Debatte um die Staatstrojanerpläne der Bundesregierung auf den Plan. Experten warnen, dass ein solches Vorgehen die Sicherheit für alle senken könne, wenn die Behörden dafür Schwachstellen horten, statt sie zu schließen.

Ungewöhnlich ist diesmal auch, dass IT-Sicherheitsforscher sich uneins sind, mit was genau sie es überhaupt zu tun haben. Erst wurde die Schadsoftware für eine Variante des seit 2016 bekannten Erpressungstrojaners „Petya“ gehalten, dann kam die russische IT-Sicherheitsfirma Kaspersky zu dem Schluss, dass es doch ein neues Programm sei und taufte es erst in „Notpetya“ und dann in „Expetr“ um. Malwarebytes nennt es wegen einiger Ähnlichkeiten „Petya-esque“ und Konkurrent Bitdefender griff gleich zum neuen Namen „Goldeneye“ – wie seinerzeit im James-Bond-Film.

Von Andrej Sokolow/dpa/RND