ZEIT ONLINE: Wie kommen Sie darauf?

Trost: Die geringen Lösegeldforderungen haben mich stutzig gemacht. Um ihre Daten zurückzubekommen, sind die Betroffenen in einem ersten Schritt aufgefordert worden, 300 Dollar in Bitcoin zu zahlen. Sicher, in diesem Fall macht es die Zahl der Betroffenen und der Betrag hat sich mit der Zeit auch verändert. Doch Ransomware erkennt eigentlich, wie reich ein Unternehmen ist und passt das Lösegeld an. Meiner Einschätzung nach hat der Angreifer nicht damit gerechnet, dass seine Schadsoftware dermaßen durchschlägt.

ZEIT ONLINE: Laut Medienberichten hat jemand die Software mittlerweile deaktiviert.

Trost: Ob das stimmt, ist nicht hundertprozentig gesichert. Es ist aber sehr wahrscheinlich. Wer eine Software programmiert, baut häufig ein Stück Code ein, mit dem sie sich stoppen lässt. Ein britischer Internetsicherheitsforscher, der als @MalwareTech twittert, sagt, er habe mit einem Kollegen zufällig die entscheidende Stelle gefunden, den Kill Switch. Es handelt sich um eine Website, die aktiv sein muss. Sie lasen den Domain-Namen im Code, stellten fest, dass sie noch zu haben war, erwarben die Domain und scheinen die Verbreitung der Software so gestoppt zu haben.

ZEIT ONLINE: Ist damit alles ausgestanden?

Trost: Oh nein, es gibt noch einiges zu tun. Nur weil die Software nicht mehr aktiv ist, haben Sie Ihre Daten nicht zurück. Es gilt nun herauszufinden, ob sich bereits verschlüsselte Daten wiederherstellen lassen. Falls nicht, bleibt nur das Backup.

Der amerikanische Geheimdienst NSA trägt eine Mitschuld
Rüdiger Trost, IT-Sicherheitsexperte

Außerdem sollten alle Microsoft-Nutzer nun prüfen, ob sie den Sicherheitspatch installiert haben und dies schleunigst tun, wenn nicht. Ist ein Computer schon infiziert, bringt das Patch nicht mehr viel. Es macht gewissermaßen Ihre Haustür sicher. Da der Angreifer ja aber schon im Haus ist, kann ich ihn höchstens drin behalten. Doch die nächste Variante von WannaCry ist gewiss schon in Arbeit. Solange Ihre Haustür offensteht, könnte also ein noch gefährlicherer Täter eindringen.

ZEIT ONLINE: Gibt es schon Hinweise auf die Identität des Angreifers?

Trost: Man muss hier mal erwähnen, dass der amerikanische Geheimdienst NSA eine Mitschuld an dem Ausmaß trägt. Der NSA war die Sicherheitslücke bekannt. Statt Microsoft zu informieren, hat der Dienst sie verwendet, um Systeme zu überwachen – ohne ihre Informationen ausreichend zu schützen. Sie ist weltweit bekannt geworden, bevor Microsoft überhaupt reagieren konnte.

Aber nun zum Angreifer: Weil WannaCry in Russland sehr aktiv ist, gibt es Spekulationen, dass etwas Russisches dahintersteckt. Doch das ist wirklich nur eine Vermutung. Zum Ursprung lässt sich heute noch nichts sagen, vielleicht auch in Wochen noch nicht.

ZEIT ONLINE: Wieso?

Trost: Virenanalysten müssen den Code erst mal komplett untersuchen, um Rückschlüsse ziehen zu können. Wenn überhaupt. Vielleicht gelingt es nie. Sie müssen sich das so vorstellen: Sie haben einen Kuchen und wollen nicht nur herausfinden, welche Zutaten drin sind, sondern auch, wo die Eier gekauft wurden und von wem. An gewisse Informationen kommt man einfach nicht ran.