Sie haben weltweit für Ärger und Verwirrung gesorgt, viel Geld aber haben sie bisher nicht eingenommen: Am Freitag starteten Kriminelle den sogenannten WCry, WannaCry oder Wanna-Decryptor-Angriff, um von Betroffenen Geld zu erpressen, indem sie die Daten auf den befallenen Rechnern verschlüsselten. Weltweit wurden dabei wohl mehr als 75.000 Rechner in rund 100 Ländern angegriffen. Bislang sind aber offenbar nur wenige Betroffene bereit, das geforderte Lösegeld zu zahlen. Bis Sonntagvormittag wurden knapp 31.000 Dollar an die Kriminellen gezahlt.

Die Einnahmen der Angreifer sind in Echtzeit sichtbar, weil die Täter die Zahlung in Bitcoin fordern. Hat der Erpressungswurm einen Computer infiziert, sucht er dort nach allen möglichen Dateiformaten und beginnt, die Daten zu verschlüsseln. Anschließend wird der Nutzer aufgefordert, innerhalb von drei Tagen Bitcoin im Wert von 300 Dollar zu zahlen, sonst verdoppele sich der Preis. Wer bis zum 19. Mai nicht gezahlt habe, verliere seine Daten endgültig.

In den Schadprogrammen sind dazu drei unterschiedliche Bitcoin-Adressen fest programmiert – sogenannte Wallets, Brieftaschen –, an die das Geld überwiesen werden soll. Eine davon steht beispielsweise in den Erpressungsnachrichten, die bei der Deutschen Bahn auf Bildschirmen erschien.

Alle Transaktionen, die mit Bitcoins erfolgen, werden in Form einer sogenannten Blockchain in einer Datenbank abgelegt. Diese Datenbank ist dezentral auf Tausenden Rechnern verteilt. Ihre Einträge können von jedem nachvollzogen werden. Und so kann auch jeder die Einnahmen verfolgen, die die Kriminellen erzielen. Ein Reporter des Onlinemagazins Quartz hat dazu einen Twitterbot aufgesetzt, der die drei Bitcoin-Wallets der Kriminellen beobachtet und jedes Mal einen Tweet absetzt, wenn eine Zahlung eingeht. Derzeit registriert der Bot zwei bis drei Einzahlungen pro Stunde. Außerdem weist er von Zeit zu Zeit das Gesamtergebnis aus: Am Sonntagvormittag waren es demnach 30.706 Dollar. Es soll aber noch eine vierte Bitcoin-Adresse der Kriminellen geben, weswegen die Einnahmen möglicherweise höher sind.

Die Bitcoin-Datenbank speichert nicht nur Zahlungseingänge. Sollten die Kriminellen versuchen, das Geld aus ihren Wallets abzuheben, ist das ebenfalls sichtbar. Wenn sie dabei Fehler machen, könnte das zu ihrer Identifizierung führen. Zwar bieten verschiedene Dienste an, Bitcoins unterschiedlicher Nutzer miteinander zu vermischen oder das Nachverfolgen des Geldes durch komplexe Transaktionen zu erschweren. Gleichzeitig gibt es aber auch Werkzeuge, die genau solche Umwege aufdecken können.

Unternehmen und Organisationen weltweit betroffen

Das Bundeskriminalamt ermittelt bereits gegen die Täter. Und die europäische Polizeibehörde Europol fordert eine internationale Untersuchung, da es sich um eine Attacke in einem bisher noch nie dagewesenen Ausmaß gehandelt habe. Die New York Times hat eine Karte erstellt, die zeigt, wie sich der Erpressungswurm weltweit verbreitet hat.

Die Attacke traf neben vielen privaten Nutzern unter anderem britische Krankenhäuser, ein Werk des japanischen Autoherstellers Nissan im englischen Sunderland, die Produktion in mehreren französischen Werken von Renault in Frankreich sowie Fahrplananzeigen, Ticketautomaten und Überwachungskameras der Deutschen Bahn. Auch russische Banken, chinesische Geldautomaten und Schulen sowie der amerikanische Lieferdienst FedEx sind betroffen.

Der Schaden, den der Angriff verursachte, dürfte daher weitaus größer sein als die Einnahmen der Kriminellen. Dabei halten IT-Sicherheitsexperten die Täter nicht unbedingt für Genies. Dass das Schadprogramm sich so rasant verbreitet hat, lag wohl vor allem an der ausgezeichneten Vorarbeit des US-Geheimdienstes NSA. Die hatte die Lücke in dem Microsoft-Code entdeckt. Zwar warnte der Geheimdienst das Unternehmen, programmierte aber gleichzeitig wohl auch das Werkzeug (mit dem NSA-Codenamen Eternalblue), das die Lücke ausnutzt. Die NSA wollte es offenbar für ihre Zwecke einsetzen. Eine Hackergruppe namens Shadow Brokers veröffentlichte es dann vor Kurzem zusammen mit vielen anderen IT-Werkzeugen der NSA, um vor den Gefahren dieser Politik zu warnen, Kriminelle nutzten es nun für ihre Zwecke.

Die NSA ist daher zumindest mitverantwortlich, auch wenn das eigentliche Problem die vielen Rechnersysteme sind, die nicht auf einem aktuellen Stand gehalten werden, um Geld zu sparen. Kritiker wie der Grüne Bundestagsabgeordnete Konstantin von Notz fordern daher, dass Geheimdienste solche Lücken nicht ausnutzen dürften, da die gesellschaftlichen Kosten höher seien als der Informationsgewinn der Dienste.

Trojaner wurde womöglich aktualisiert

Update: Die erste Welle des Trojaners enthielt einen sogenannten kill switch, eine Abschaltautomatik. Ein IT-Sicherheitsforscher hatte diesen Schalter unabsichtlich aktiviert, als er eine Website registrierte, deren Adresse im Schadcode enthalten war. Daraufhin kontaktierten die Schadprogramme diese Website und verbreiteten sich nicht weiter.

Inzwischen aber scheinen Varianten des Trojaners im Umlauf zu sein, die diesen Aus-Schalter nicht mehr enthalten, wie mehrere Medien das IT-Sicherheitsunternehmen Kaspersky zitieren. Der Rat, den alle Sicherheitsexperten übereinstimmend geben, gilt daher weiter: Windows-Systeme sollten unbedingt mit dem Sicherheitsupdate von Microsoft aktualisiert werden.