Und natürlich liegt es am fehlenden Geld. Dem Guardian zufolge hat zum Beispiel das britische Gesundheitsministerium im Jahr 2015 aufgehört, für Microsofts speziellen XP-Support in den nun betroffenen Kliniken zu zahlen.

Deshalb ist kaum anzunehmen, dass die Zahl der aktiven Uralt-Systeme in den kommenden Monaten signifikant sinken wird. Wer als größeres Unternehmen jetzt mit dem Übergang anfängt, kann unter Umständen erst in zwei Jahren Vollzug melden.

Die (nächsten) Täter

Wer auch immer hinter der Attacke vom Freitag steckt, verhält sich still. Kontaktversuche von Sicherheitsforschern blieben bisher unbeantwortet, die Bitcoin-Wallets unangetastet. Experten gehen davon aus, dass die Täter selbst von der Reichweite ihrer Ransomware überrascht worden sind. Nun sind die Strafverfolger überall auf der Welt hinter ihnen her und jede öffentliche Regung wäre gefährlich.

Aber neue Varianten von WannaCry sind bereits im Umlauf. Eine hat der Sicherheitsforscher Matt Suiche gestoppt, indem er den kill switch identifizierte: So wie die erste Version der Ransomware verbreitet sich die Variante so lange wie ein Computerwurm weiter, bis jemand eine bestimmte Internetdomain registriert – was Suiche getan hat.

Eine zweite Variante wurde von der IT-Sicherheitsfirma Kaspersky entdeckt, allerdings nur auf der Virus-Testseite virustotal.com, nicht "in freier Wildbahn". Sie ist auch nicht voll einsatzfähig, die Verschlüsselungsfunktion ist defekt. Dafür hat sie keinen kill switch mehr. Das heißt, die Ausbreitung einer funktionierende Version zu stoppen, wäre sehr viel schwieriger.

Es ist davon auszugehen, dass es nun einen Wettlauf zwischen den Herstellern von Antiviren-Software und möglichen Trittbrettfahrern gibt, die neue, gefährlichere Versionen des Erpressungsprogramms entwickeln.

Die Politik

Als einer der ersten Politiker in Deutschland äußerte sich Alexander Dobrindt (CSU), Bundesminister für Verkehr und digitale Infrastruktur, öffentlich zu dem Vorfall. In der Passauer Neuen Presse forderte er eine Verschärfung des IT-Sicherheitsgesetzes. Laut dem seit 2015 geltenden Gesetz sind Unternehmen, die als kritische Infrastruktur gelten, verpflichtet, "erhebliche Störungen" ihrer Dienste an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Es sei "unerlässlich, das IT-Sicherheitsniveau bei den kritischen Infrastrukturen zu erhöhen. Das betrifft die Energie- und Wasserversorgung genauso wie Verkehrsinfrastruktur oder das Gesundheits- und Finanzwesen."

Allerdings hat der Bundesrat ausgerechnet am vergangenen Freitag den Gesetzentwurf zur Umsetzung der sogenannten NIS-Richtlinie (Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen) der Europäischen Union beschlossen. Das Gesetz kann damit noch in dieser Legislaturperiode in Kraft treten. Inwieweit Dobrindts Forderungen über den Inhalt des Gesetzes hinausgehen, mit dem das nationale IT-Sicherheitsgesetz erweitert wird, hat sein Ministerium auf Anfrage bisher nicht erklärt.

Jan Philipp Albrecht, Europaabgeordneter der Grünen, fordert eine Debatte über neue Haftungsregelungen – nicht für die Hersteller von Soft- und Hardware, sondern für deren Anwender: "Man muss darüber nachdenken, bei grober Fahrlässigkeit die Betreiber in Haftung zu nehmen", sagte er ZEIT ONLINE. Zwar müsse man den Geltungsbereich eingrenzen, nicht jeder Betreiber könne in Haftung genommen werden. Krankenhäuser aber, die ihre Systeme wider besseres Wissen nicht absichern, würde Albrecht nicht davon ausnehmen wollen.

Norbert Pohlmann vom eco – Verband der Internetwirtschaft hält naturgemäß wenig von weitergehender Regulierung für Unternehmen. Er sähe es lieber, wenn die Geheimdienste aufhörten, ihr Wissen um Sicherheitslücken geheim zu halten und für offensive Zwecke zu nutzen: "Solange NSA und BND vorhandene Schwachstellen nicht den Herstellern melden, sondern für das Ausspähen der Bürger nutzen, passieren Cyberattacken, die leicht verhindert werden können."