Cyberkriminalität

Neue Cyberattacke trifft auch zwei weltweit tätige Konzerne aus Österreich

Nur wenige Wochen nach der Cyberattacke "Wannacry" sorgt ein neuer Angriff weltweit für Chaos. Betroffen sind etwa sehr viele Firmen in der Ukraine, der größte russische Ölproduzent Rosneft, Pharmariese Merck, die französische Bahn SNCF und mindestens zwei weltweit tätige Firmen aus Österreich.

Nach einem zweiten massiven Angriff mit Erpressungssoftware innerhalb von zwei Monaten kämpfen Firmen rund um den Globus mit den Folgen der Cyber-Attacke. Zu den betroffenen Unternehmen zählen der größte russische Ölproduzent Rosneft, der US-Pharmakonzern Merck, die französische Bahn SNCF und der Lebensmittel-Riese Mondelez.

Die Schadsoftware verbreitete sich auch über die Windows-Sicherheitslücke, die im Mai der Trojaner "WannaCry" genützt hatte. Aus Expertensicht waren die Angreifer auf Chaos aus.

Österreichisches Bundeskriminalamt appelliert an heimische Unternehmen

Auch Firmen in Österreich sind vom Angriff mit der Erpressersoftware betroffen. Bisher wurden zwei Unternehmen dem Bundeskriminalamt (BK) gemeldet. Es handelt sich um große, international aufgestellte Unternehmen mit Standort in Wien.

Diese Erpresser-Software sei "noch übler", sagte Bundeskriminalamtssprecher Vincenz Kriegs-Au. Bei den bisher bekannten Fällen von Ransomware konnten die infizierten Computer normal hochgefahren und sogar Programme gestartet werden.

Ein noch problematischeres Programm als zuletzt

Bei der neuen Schadsoftware liegt das Übel bereits im Vorfeld, denn das Hochfahren ist nicht mehr möglich. Auf dem Bildschirm erscheint nur noch die Information, dass der Computer infiziert ist und wie das Lösegeld überwiesen werden solle. Es wurden mehrere Computer der beiden Unternehmen in Wien infiziert, für jeden einzelnen fordern die Erpresser 300 Dollar.

Kriegs-Au wies auf die Wichtigkeit hin, dass etwaige weitere Betroffene Anzeige erstatten: Nur so erhalten die Ermittler wichtige Informationen, um den digitalen Spuren im Netz folgen zu können.

Alle österreichischen Ransomware-Fälle werden zentral von einer Sonderkommission übernommen. Die Soko CLAVIS bearbeitet diese und steht diesbezüglich auch im laufenden internationalen Kontakt mit den ermittelnden Behörden anderer Staaten und mit Europol, berichtete das BK.

Sicherheitslücke ursprünglich von der NSA genutzt

IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Sofware sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software "Petya". Kaspersky kam hingegen zu dem Schluss, es sei keine "Petya"-Variante, sondern eine neue Software, die sich nur als "Petya" tarne.

Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner "WannaCry", erklärten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Deutsches Bundesamt BSI warnt vor einem gängigen Administrationswerkzeug

Die russische IT-Sicherheitsfirma Kaspersky verzeichnete diese Woche rund 2.000 erfolgreiche Angriffe, die meisten davon in Russland und der Ukraine, aber auch in Deutschland, Polen, Italien, Großbritannien, Frankreich und den USA.

Weiters dazu:
Versicherer können sich über Cyberangriffe freuen >>

In Deutschland soll auch Hamburger Zentrale von Beiersdorf betroffen sein. Der neue Angriff breitete sich langsamer aus als der "WannaCry"-Trojaner, der binnen eines Tages hunderttausende Computer befiel - aber er zog mehr international agierende Unternehmen in Mitleidenschaft.

In internen Netzen nutze "Petya" aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI.

Sicherheit-Update seit Wochen verfügbar

Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt - doch das scheinen viele Firmen noch immer nicht installiert zu haben.

Betroffen waren diesmal auch Systeme mit dem aktuellen Microsoft-Betriebssystem Windows 10. "WannaCry" konnte nur bei älteren Windows-7-Rechnern zuschlagen. Mitte Mai hatte die "WannaCry"-Attacke hunderttausende Windows-Computer in mehr als 150 Ländern infiziert.

(apa/dpa/red)