WannaCry ist eine Ran­som­wa­re, die 2017 weltweit für einen Schaden in Mil­li­ar­den­hö­he ver­ant­wort­lich war. Ein Si­cher­heits­leck in Windows führte zu dem Angriff, dem auch Behörden und große Konzerne zum Opfer fielen.

Was ist WannaCry?

Ab Mai 2017 kam es zu einem der schlimms­ten und schwer­wie­gends­ten Angriffe mit Ran­som­wa­re, die die Welt bis dahin je gesehen hatte. Das ver­wen­de­te Schad­pro­gramm hatte viele ver­schie­de­ne Namen und wurde u. a. als Wana Decrypt0r 2.0, Wan­naCrypt, WCRY oder Wcrypt be­zeich­net. Der bis heute be­kann­tes­te Name für diesen Cy­ber­an­griff lautet al­ler­dings WannaCry. Weit über 230.000 Computer in knapp 150 Ländern wurden befallen und Dateien oder komplette Be­triebs­sys­te­me ver­schlüs­selt. Nut­ze­rin­nen und Nutzer sollten dann eine Lö­se­geld­zah­lung in Form von Bitcoin ent­rich­ten, um die be­trof­fe­nen Dateien wieder zu ent­schlüs­seln. Behörden rieten al­ler­dings von einer solchen Zahlung in jedem Fall ab.

Ein­falls­tor für WannaCry war eine Si­cher­heits­lü­cke in Windows, die unter dem Namen MS17-010 bekannt war. Mit Hilfe des Exploits Eter­nal­Blue konnte dieses Leck aus­ge­nutzt werden. Angeblich wurde diese Technik vom US-ame­ri­ka­ni­schen Ge­heim­dienst NSA ent­wi­ckelt und über mehrere Jahre für eigene Zwecke genutzt. Erst als eine Hacker-Grup­pie­rung die Lücke öf­fent­lich machte, erfuhr Microsoft von dem Problem und versuchte, es noch im März 2017 mit einem Si­cher­heits­patch zu lösen. Da der Patch al­ler­dings nicht mit allen Systemen kom­pa­ti­bel war und zahl­rei­che Nut­ze­rin­nen und Nutzer auf das Update ver­zich­te­ten, konnte der Eter­nal­Blue-Nach­fol­ger WannaCry sich zwei Monate später teilweise un­ge­hin­dert aus­brei­ten.

Worauf zielt WannaCry ab?

WannaCry ver­schlüs­selt wichtige Dateien und sperrt so die Nut­ze­rin­nen und Nutzer aus. Diese erhalten dann eine Nachricht, die sie darüber in­for­miert, dass ihre Daten als Geisel gehalten werden. Ziel der Ha­cke­rin­nen und Hacker hinter WannaCry ist Geld. 300 US-Dollar sollten Be­trof­fe­ne 2017 für die Freigabe ihrer Daten zahlen. Über­wie­sen sie das Geld nicht recht­zei­tig, ver­dop­pel­te sich die Forderung. Da sich WannaCry selbst­stän­dig vermehrt und so über ein File­sha­ring-Protokoll von einem zum anderen Netzwerk ziehen kann, stiegen auch die möglichen Umsätze innerhalb kürzester Zeit. Pro Stunde kamen 2017 mehrere zehn­tau­send Rechner dazu. Selbst nach einer Lö­se­geld­zah­lung wurden wohl keine Daten wieder ent­schlüs­selt.

Wie viel Schaden hat WannaCry ver­ur­sacht?

Der Schaden, der durch WannaCry ver­ur­sacht wurde, lässt sich nicht genau beziffern. Experten und Ex­per­tin­nen gehen von mehreren Mil­li­ar­den US-Dollar aus. Diese hohe Zahl ist al­ler­dings nicht aus­schließ­lich auf die ei­gent­li­chen Lö­se­geld­zah­lun­gen zu­rück­zu­füh­ren. WannaCry nahm neben Pri­vat­per­so­nen auch zahl­rei­che Un­ter­neh­men, Behörden und öf­fent­li­che Ein­rich­tun­gen ins Visier und legte zeitweise komplette Systeme lahm. Bei­spiels­wei­se wurde der britische Ge­sund­heits­dienst NHS so emp­find­lich getroffen, dass zahl­rei­che wichtige Ope­ra­tio­nen ver­scho­ben werden mussten, Pa­ti­en­ten­ak­ten nicht mehr abrufbar waren und Kran­ken­wa­gen mit falschen In­for­ma­tio­nen versorgt wurden. Vor­über­ge­hend waren über 30 Prozent aller NHS-Kran­ken­häu­ser von WannaCry befallen.

In Deutsch­land war vor allem die Deutsche Bahn von WannaCry betroffen. An­zei­ge­ta­feln und die Vi­deo­über­wa­chung fielen dadurch in zahl­rei­chen Bahnhöfen aus. Ähnliche Probleme hatte auch die Russische Ei­sen­bahn­ge­sell­schaft. In Spanien führte WannaCry zu Ein­schrän­kun­gen im Te­le­fon­netz von Te­le­fó­ni­ca. Weitere stark be­trof­fe­ne Un­ter­neh­men waren u. a. FedEx, Honda und Renault. Dazu wurden das ru­mä­ni­sche Au­ßen­mi­nis­te­ri­um, Uni­ver­si­tä­ten in Montreal und Thes­sa­lo­ni­ki sowie das Jus­tiz­ge­richt von São Paulo at­ta­ckiert. Es ist davon aus­zu­ge­hen, dass all diese Konzerne und Ein­rich­tun­gen es versäumt hatten, ihre Systeme recht­zei­tig auf den neuesten Stand zu bringen. Bevor die not­wen­di­gen Updates durch­ge­führt werden konnten, hatte WannaCry bereits zu­ge­schla­gen.

Ist WannaCry noch eine Gefahr?

Der massive Angriff im Jahr 2017 dauerte glück­li­cher­wei­se nur wenige Tage. Der britische Cy­ber­si­cher­heits­exper­te Marcus Hutchins entdeckte während seiner Un­ter­su­chung von WannaCry eine Art Not­aus­schal­ter, der ab­sicht­lich oder ver­se­hent­lich im Code des Schad­pro­gramms hin­ter­legt worden war. Der Forscher konnte dadurch eine Domain re­gis­trie­ren, die WannaCry her­un­ter­fährt. Voll­stän­dig gebannt ist die Gefahr al­ler­dings dennoch nicht. Neuere Versionen von WannaCry sind nach wie vor im Umlauf und werden ohne den Not­aus­schal­ter versendet. Da sie alle dieselbe Si­cher­heits­lü­cke in Windows ausnutzen, kann zumindest die Gefahr durch diese Art der Schad­pro­gram­me minimiert werden. Andere Schad­pro­gram­me sind hingegen deutlich ge­fähr­li­cher.

Wie kann man sich vor Ran­som­wa­re wie WannaCry schützen?

Auch wenn sich Ran­som­wa­re immer wei­ter­ent­wi­ckelt, gibt es gute Taktiken, mit denen Sie Ihr System vor Angriffen mit WannaCry oder seinen Nach­fol­gern schützen können. Dazu ist es möglich, Ran­som­wa­re zu entfernen. Folgendes sollten Sie dennoch unbedingt beachten:

  • Ak­tua­li­tät: Halten Sie Ihr System unbedingt immer auf dem aktuellen Stand. So ver­hin­dern Sie nicht nur, dass Ihr Rechner ir­gend­wann langsam wird, sondern schließen auch die meisten Ein­falls­to­re für WannaCry und Co. Die hier be­spro­che­ne Ran­som­wa­re nutzte ein Ein­falls­tor, das Microsoft ei­gent­lich bereits ge­schlos­sen hatte. Nur wer den Si­cher­heits­patch (noch) nicht in­stal­liert hatte, wurde zum Opfer.
  • Si­cher­heits­soft­ware: Schützen Sie Ihr System mit einer passenden Firewall und nutzen Sie auch unbedingt ein ge­eig­ne­tes An­ti­vi­ren­pro­gramm. So werden neben Ran­som­wa­re auch Spyware und Scareware früh­zei­tig erkannt.
  • Quellen über­prü­fen: Öffnen Sie keine E-Mails, deren Absender bzw. Ab­sen­de­rin Sie nicht kennen, und klicken Sie auf keine Links, die Ihnen ver­däch­tig vorkommen. Bei USB-Sticks oder anderen externen Da­ten­trä­gern sollten Sie ebenfalls vor­sich­tig sein und diese nur an­schlie­ßen, wenn Sie über ihre Inhalte Bescheid wissen.
  • Backups: Durch re­gel­mä­ßi­ge Backups ver­hin­dern Sie zwar keinen Angriff mit Ran­som­wa­re, werden Sie al­ler­dings Opfer einer Attacke, ist der Schaden deutlich geringer. Im Falle einer Ver­schlüs­se­lung können Sie so das System neu aufsetzen und auf eine frühere Version zu­rück­grei­fen. Es gibt auch spezielle Programme, die re­gel­mä­ßi­ge Si­che­run­gen au­to­ma­tisch für Sie an­fer­ti­gen.
Tipp

So bewahren Sie Ihren Rechner optimal vor Ran­som­wa­re und anderen An­griffs­for­men: My­De­fen­der von IONOS scannt Ihr System re­gel­mä­ßig, hält es auf dem aktuellen Stand und schützt es zu­sätz­lich mit vielen nütz­li­chen Features. Wählen Sie Cy­ber­si­cher­heit aus Deutsch­land!

Zum Hauptmenü