Der Verschlüsselungstrojaner "WannaCry" wurde mittlerweile in 150 Ländern gemeldet. Über 200.000 Systeme sind befallen und teils lahmgelegt. Möglicherweise geht der Ärger aber erst richtig los, sagt unser Netzexperte Michael Gessat. Denn nach dem Wochenende werden in den Unternehmen die Rechner wieder gestartet.

Am Freitagabend (12. Mai) gab es die ersten Schadensmeldungen - vor allem aus England und auch Russland.

In Deutschland war zum Beispiel die Deutsche Bahn betroffen: Teils funktionierten die Fahrplananzeigen nicht mehr. In England waren die Netzwerke von Krankenhäusern befallen und wichtige Daten nicht mehr verfügbar: Krebspatienten mit Terminen für Bestrahlungen wurden wieder nach Hause geschickt. In Frankreich wiederum wurde der Autohersteller Renault angegriffen.

Die Infektion durch WannaCry läuft ganz klassisch per Phishing-Mail ab. Diese E-Mail muss jemand anklicken. Aber sobald das passiert ist, verbreitet sich die Malware vom ersten befallenen Rechner aus selbsttätig im Netzwerk. Dafür nutzt die Schadsoftware eine Windows-Sicherheitslücke beziehungsweise ein Angriffs-Tool aus dem Repertoire der NSA, dem Auslandsgeheimdienst der USA. Die Lücke war schon vor Wochen von einer Hacker-Truppe geleakt worden.

"Es gab Updates von Microsoft, doch die wurden nicht überall eingespielt, wie sich jetzt mal wieder zeigt."
Michael Gessat, Netzexperte von Deutschlandfunk Nova

Hinzu kommt, dass Microsoft für ältere Systeme wie Windows XP oder Windows NT keine Updates mehr vorgesehen hat. Das Unternehmen lieferte dann am Samstag (13. Mai) diese Updates nach.

Der Notabschalter funktioniert nicht immer

Zwischendurch gab es schon Entwarnung: Denn in WannaCry gibt es offenbar eine Art Notabschalter, einen sogenannten Killswitch. Doch der funktioniert nur, wenn ein Computer direkt auf das Netz zugreift und nicht hinter einem Proxyserver sitzt. Das jedoch ist in den meisten Unternehmen der Fall. Außerdem kursieren mittlerweile auch WannaCry-Varianten ohne Killswitch.

Für jene, die von der Schadsoftware betroffen, ihre Daten verschlüsselt sind und die kein Backup haben, ist die Frage: zahlen oder nicht zahlen. Bislang sind die Eingänge auf dem Bitcoin-Account der Täter aber relativ gering.

Michael Gessat
"Vielleicht haben die Täter sogar Muffensausen bekommen und versuchen, sich aus dem Staub zu machen. Denn jetzt sind die Behörden und Geheimdienste der ganzen Welt hinter ihnen her."

Was kann man jetzt am Besten tun?

Privatnutzern droht keine Gefahr aus einem Netzwerk - sie müssen sich selbst infizieren, eben mit einem Klick auf eine Phishing-Mail. Aber das ist schnell passiert. Deshalb ganz wichtig: Installiert die Windows-Updates. Außerdem solltet ihr immer ein aktuelles Back-up machen.

Vorsicht ist auch vor ersten Webseiten geboten, die einen Wanna-Decryptor, also ein Entschlüsselungstool, versprechen. Teils sind das Trittbrettfahrer, die neue Schadsoftware in Umlauf bringen wollen.