ZEIT ONLINE: Ein umfassender Cyberangriff hat Firmen, Organisationen und Krankenhäuser in fast 100 Ländern getroffen. Als wie gravierend stufen Sie die Attacke ein?

Rüdiger Trost: Es ist eine der größten, die wir je beobachtet haben. Wenn nicht sogar die größte. Solch einen Ausbruch haben wir seit 2008 nicht mehr gesehen. Damals gab es den Conficker-Wurm, der weltweit durchgeschlagen ist. WannaCry, wie die aktuelle Schadsoftware heißt, fällt mindestens in die gleiche Kategorie. Sie hat sich beeindruckend schnell verbreitet. Es handelt sich dabei um Ransomware, die Daten stiehlt und erst gegen eine Lösegeldzahlung wieder freigibt.

ZEIT ONLINE: Was macht WannaCry so außergewöhnlich?

Trost: Sicherlich zum einen die Ausbreitung. Betroffen sind potenziell alle Microsoft-Windows-Nutzer, die es versäumt haben, das Sicherheitspatch vom 14. März dieses Jahres zu installieren. Zum anderen der Verbreitungsweg.


Eine animierte Grafik der "New York Times" zeigt, wie rasch sich WannaCry ausgebreitet hat.

Zu Schadsoftware zählen Viren, Würmer, Trojaner. In den letzten Jahren haben sich Trojaner durchgesetzt, also Programme, die Ihnen eine Funktion vorgaukeln und derweil eine Hintertür zu ihrem Computer öffnen, durch die sich Daten entwenden lassen. Sie agieren lokal. Ein Wurm wiederum kann sich selbstständig in einem Netzwerk verbreiten – WannaCry ist gewissermaßen eine Mischung aus beiden.

Der Wirtschaftsinformatiker Rüdiger Trost arbeitet bei der IT-Sicherheitsfirma F-Secure. Er berät Unternehmen bei der Erstellung von umfassenden Sicherheitskonzepten und unterstützt sie bei der Implementierung der Sicherheitslösungen. © Privat

ZEIT ONLINE: Die Software stiehlt Nutzern also Daten und verbreitet sich zugleich weiter?

Trost: Genau. Den Anfang macht eine Spam-E-Mail, an der beispielsweise ein Link oder Dokument hängt. In diesem Fall sind die Details noch unklar. Wird eines davon angeklickt, installiert sich WannaCry und beginnt damit, Fotos, Dokumente und andere Dateien zu verschlüsseln. Sie sind dann noch nicht gelöscht, aber der Nutzer kann sie nicht mehr erreichen. Währenddessen nutzt der Schadcode eine Sicherheitslücke aus und springt autonom von PC zu PC, um dort ebenfalls Daten zu klauen. Die Computer müssen nur angeschaltet sein, niemand muss davor sitzen.

ZEIT ONLINE: Wie Sie erwähnten, handelt es sich in diesem Fall um eine Sicherheitslücke, die Microsoft vor Wochen geschlossen hat …

Trost: Wie wir sehen, haben Tausende Unternehmen diese Sicherheitspatches aber nicht eingespielt. Dazu gehören der britische Gesundheitsdienst ebenso wie die Deutsche Bahn und Zehntausende weitere. Der Erfolg hat überrascht – sicher auch den Angreifer.