Es hat sich um einen Cyberangriff gehandelt, dessen Ausmaß "bislang einmalig" gewesen ist: Das gab Europol in einer Analyse diesen Samstag bekannt. Doch die massive Attacke, die nach ersten Schätzungen rund 75.000 Rechner in 100 Ländern lahmgelegt hat (diese Zahl wurde am Sonntag von Europol erhöht), soll nur kurzfristig gestoppt worden sein – und auch diese Blockade ist einem 22-jährigen Hacker zu verdanken.

Der IT-Experte, der anonym bleiben will, entdeckte im Code des Wurms eine Internetadresse, die aus einer Reihe an Zeichen und Ziffern bestand, die keinen Sinn ergab. Diese Adresse war noch nicht registriert. Der 22-Jährige erwarb sie, ging damit online – und plötzlich hörte das Schadprogramm damit auf, aktiv zu sein. Denn wenn die beschriebene Domain existiert, führt die Malware keine Aktionen aus. Rechner sind dann zwar infiziert, doch der Infekt ist harmlos.

"Notfallknopf"

IT-Experten glauben, dass es sich bei der Adresse um einen absichtlichen "Notfallknopf" gehandelt hat, mit dem die Kriminellen hinter der Attacke ein Art Käfig für ihr "Monster" gebaut haben. So beschreibt Sicherheitsforscher Darien Huss den Vorgang gegenüber der BBC. Das Problem dabei ist, dass die Entwickler ihr Schadprogramm nur leicht verändern müssen, um es wieder zum Leben zu erwecken. Deshalb warnt auch der 22-Jährige, der den Wurm gestoppt hat, dass eine Fortsetzung der Attacke "unmittelbar" bevorsteht.

Außerdem könnte mit dem Beginn der Arbeitswoche eine Vielzahl von Infektionen frisch entdeckt werden. Laut Europol sind mittlerweile 200.000 Systeme in 150 Ländern betroffen.

Microsoft veröffentlicht Patch

Nach wie vor sind zahlreiche Computer weltweit ungeschützt. Das Schadprogramm, das Anleihen bei im Netz aufgetauchten Werkzeugen der NSA nimmt, nutzt eine Windows-Lücke aus, die Microsoft schon im März geschlossen hat. Am Samstag veröffentlichte das Unternehmen in einem seltenen Schritt auch Notfall-Patches für ältere Windows-Versionen. Cert.at empfiehlt, diese rasch zu aktualisieren. Außerdem gibt es "spezielle Tools" gegen den "Wanna Cry" betitelten Wurm.

Erpressungstrojaner

Noch ist über den Ursprung des Wurms wenig bekannt. Kriminelle frieren mit ihm die Daten auf einem Rechner ein. Nur gegen eine Zahlung einer dreistelligen Lösegeldsumme werden die betroffenen Computer wieder "entsperrt". Zwar sind weltweit unzählige Rechner betroffen, bislang sollen aber nur wenige Nutzer gezahlt haben.

Laut Schätzungen der BBC und unabhängiger Experten sollen die Kriminellen mit der Attacke bislang rund 25.000 Euro verdient haben. Der wirtschaftliche Schaden ist freilich um einiges höher. So sind neben englischen Krankenhäusern beispielsweise große Konzerne wie Fed Ex und Renault betroffen. Auch in Österreich sind laut Cert.at ab jenem Zeitpunkt, an dem die beschriebene Notstopp-Domain registriert war, Rechner von rund 70 Unternehmen infiziert worden. Die Dunkelziffer dürfte jedoch um einiges höher liegen. (fsc, 14.5.2017)