Hackerangriff: Cyber-Attacken legen Anzeigetafeln in Augsburg und München lahm

Der Hackerangriff, der am Freitag mehrere internationale Unternehmen getroffen hatte, hat auch die Anzeigetafeln im Augsburger und Münchner Hauptbahnhof lahmgelegt. Sowohl in der Halle als auch auf den Bahnsteigen konnten Reisende nur den Satz "Bitte Lautsprecherdurchsagen beachten" lesen.

Die Fahrscheinautomaten funktionierten dagegen. Es gebe keine Einschränkungen im Fern- und Nahverkehr, so ein Bahnsprecher. Auch der Schienenersatzverkehr, der in München am Wochenende statt der S-Bahnen fährt, sei nicht vom Hackerangriff betroffen. In Augsburg berichteten Reisende, habe es kein Chaos gegeben. Der Zugverkehr verlief während der Ausfälle am Freitagabend und am Samstag normal.

Die bundesweit betroffenen Anzeigetafeln werden noch "einige Zeit gestört bleiben". Das teilte ein Bahnsprecher am Sonntag auf Anfrage mit. Die Techniker müssten die Software an jedem einzelnen Rechner, der die Anzeigetafeln steuert, reparieren. "Es gibt keinen zentralen Server, der die Tafeln steuert", sagte der Sprecher.

Experten warnen vor neuen Angriffen nach Stopp der Cyber-Attacke

Experten warnen nun vor neuen Angriffen. "Ich gehe davon aus, dass es von dieser Attacke früher oder später eine weitere Welle geben wird", sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure der Deutschen Presse-Agentur am Sonntag. Der Angriff über die Windows-Sicherheitslücke habe zu gut funktioniert, um aufzugeben.

Von den massiven Cyber-Attacken mit Erpressungstrojanern waren schätzungsweise 75.000 Computer von Unternehmen und Behörden in über 150 Ländern betroffen, wie Europol berichtet. Das Bundeskriminalamt BKA hat die Ermittlungen übernommen. Das teilte das Bundesinnenministerium am Samstag mit. Zugleich hieß es, die deutschen Regierungsnetze seien von dem Angriff nicht betroffen gewesen. Der Angriff füge sich aber in einer "sehr angespannte Cyber-Bedrohungslage", vor der die Behörden immer wieder gewarnt hätten.

"Zudem sprechen die jetzigen Erkenntnisse dafür, dass wer unserem Rat folgt, regelmäßige Software-Updates durchzuführen, eine gute Wahrscheinlichkeit hatte, dem Angriff zu entgehen", betonte das Innenministerium. Die Attacke wurde in der Nacht zum Samstag gestoppt, weil ein IT-Sicherheitsforscher im Software-Code auf eine Art "Notbremse" gestoßen war.

"Held durch Zufall": Wie ein IT-Forscher den Cyber-Angriff stoppte

Die weltweite Cyber-Attacke ist in der Nacht zum Samstag durch einen glücklichen Zufall von einem einzelnen IT-Forscher gestoppt worden. Der Betreiber des Blogs "MalwareTech" fand nach eigenen Angaben einen Web-Domain-Namen im Computercode der Schadsoftware und registrierte ihn. Dadurch wurde die Ausbreitung des Lösegeld-Trojaners - auch zu seiner eigenen Überraschung - schlagartig abgebrochen.

Denn die Angreifer haben die Domain - aus welchen Gründen auch immer - als eine Art Notbremse in ihre Software eingebaut, erklärten Sicherheitssoftware-Experten anschließend. Bei jedem Befall eines neuen Computers versuchte die Software zunächst, sich mit der Adresse "iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com" zu verbinden. Solange sie nicht im Netz aktiv war, verschlüsselte das Programm den Rechner. Aber das Programm war darauf programmiert, den Computer in Ruhe zu lassen, wenn sich die Domain zurückmeldete.

Der Sicherheitsforscher von "MalwareTech" selbst räumte ein, dass ihm anfangs nicht bewusst gewesen sei, dass er mit dem Schritt die Attacke abwürgen würde. "Also kann ich zu meinem Lebenslauf hinzufügen: "Habe durch Zufall eine internationale Cyber-Attacke gestoppt", schrieb er bei Twitter. Der Experte sei ein "Held durch Zufall", sagte auch Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung Guardian. Die Registrierung der Domain kostete ihn demnach 10,69 Dollar (9,78 Euro). Da die Attacke stoppte, während in den USA noch früher Morgen war, blieben dortige Unternehmen und Behörden weitgehend verschont.

Der IT-Forscher, der laut Medienberichten aus Großbritannien kommt, 22 Jahre alt ist und bei einer Sicherheitssoftware-Firma arbeitet, will weiterhin anonym bleiben.

Cyber-Attacke: Betroffene Länder und Unternehmen

Deutschland: Bei der Deutschen Bahn fielen Fahrplan-Anzeigen sowie einige Ticketautomaten und Überwachungskameras aus. Die Fahrbetrieb ging weiter. Zunächst wurden keine anderen betroffenen Unternehmen bekannt. Das Bundeskriminalamt leitete Ermittlungen ein, aber Netze der Bundesregierung waren nicht betroffen, wie das Innenministerium mitteilte.

Großbritannien: Für besonderes Aufsehen sorgte weltweit, dass Krankenhäuser unter anderem in London, Blackpool, Hertfordshire und Derbyshire von den Angriffen lahmgelegt wurden. Dabei hätten auch Menschen zu Schaden kommen können: Ärzte kamen nicht an Patienten-Daten heran, Kranke konnten nicht eingeliefert werden. Insgesamt waren nach aktualisierten Zahlen 40 Einrichtungen des staatlichen Gesundheitsdienstes NHS betroffen. Die Attacke stoppte auch die Fabrik des japanischen Autobauers Nissan in Sunderland.

Russland: Russland war laut IT-Sicherheitsexperten mit am härtesten betroffen. Im russischen Innenministerium erwischte es 1000 Computer. Dagegen seien Angriffe beim Gesundheitsministerium und der Ermittlungsbehörde abgewehrt worden, hieß es. Auch die größte russische Bank Sberbank kam glimpflich davon, beim Mobilfunkbetreiber Megafon fielen die Computer vieler Mitarbeiter aus.

Spanien: Das Land war unter den ersten, die betroffen waren. Lahmgelegte Computer wurden beim Telekom-Konzern Telefónica und dem Versorger Iberdrola gemeldet. Die Netze bei beiden funktionierten weiter.

Portugal: Auf der iberischen Halbinsel traf es auch Portugal. Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren. Auch die Kunden von PT wurden gewarnt. Die PT-Website war am Freitagabend nicht abrufbar. Mehrere weitere Großfirmen wie das Medienunternehmen NOS, die Bank CGD und der Energieversorger EDP schalteten Firmenetze "vorsichtshalber" ab.

Schweden: In Schweden fiel das Computersystem der Gemeinde Timrå dem Angriff zum Opfer. 70 Computer seien betroffen, hieß es auf der Webseite der Verwaltung. Kurz vor 15.00 Uhr am Freitag seien die Bildschirme der Mitarbeiter zuerst blau und dann schwarz geworden. Als sie die Rechner neu starteten, kam die Meldung, dass die Computer verschlüsselt seien.

USA: Nordamerika blieb weitgehend verschont, weil die Attacke am frühen Morgen lokaler Zeit gestoppt wurde. Allerdings sorgten die Angriffe für Behinderungen beim Paketdienst FedEx. dpa/AZ