Beiersdorf „noch nicht über den Berg“

Bislang seien die wirtschaftlichen Schäden der Attacke aber vergleichsweise gering. Es gebe ausreichend Lagerbestände, um den Einzelhandel zu versorgen. Bei Beiersdorf wurde unter anderem die Telefonanlage von der Attacke getroffen.

Bei der weltgrößten Reederei Maersk blieben Container-Terminals in mehreren Häfen lahmgelegt. Der Betrieb anderer wurde durch den Ausfall automatisierter Systeme behindert. Unter anderem am Hafen von Mumbai in Indien bildeten sich lange Lastwagen-Schlangen. Die Maersk-Reederei könne auch keine neuen Aufträge auf üblichen Wegen annehmen, weil das Portal dafür gestört sei, sagte Top-Manager Vincent Clerc dem Finanzdienst Bloomberg.

Die Schadsoftware hatte am Dienstag zunächst Dutzende Unternehmen und Behörden in der Ukraine befallen und erfasste dann auch Unternehmen in Europa und den USA. Betroffen waren neben Beiersdorf, der US-Pharmakonzern MSD und der französische Glashersteller Saint-Gobain. Nach Vermutungen ukrainischer Behörden und einiger IT-Sicherheitsexperten wurde die Attacke über ein manipuliertes Update einer Buchhaltungssoftware aus der Ukraine gestartet.

Am Mittwoch stellten Experten durch eine Analyse des Software-Codes fest, dass sich das Angriffsprogramm nur als Erpressungstrojaner tarnte, aber in Wirklichkeit Daten löschte, statt sie zu verschlüsseln. Bei Erpressungssoftware wird üblicherweise der Inhalt der Festplatte verschlüsselt, um Lösegeld für eine Freischaltung zu verlangen. Die Angreifer von Dienstag scheinen aber nicht am Geldverdienen interessiert gewesen zu sein. Bis Donnerstag gingen bei ihnen nur 45 Zahlungen ein.

Der neue Angriff breitete sich langsamer aus als der WannaCry-Trojaner, der binnen eines Tages hunderttausende Computer befiel – aber er zog mehr international agierende Unternehmen in Mitleidenschaft.

IT-Sicherheitsexperten waren sich unterdessen uneins, mit welcher Sofware sie es diesmal überhaupt zu tun haben. Ersten Erkenntnissen zufolge handelte es sich um eine Version der bereits seit vergangenem Jahr bekannten Erpressungs-Software „Petya“. Kaspersky kam hingegen zu dem Schluss, es sei keine Petya-Variante, sondern eine neue Software, die sich nur als Petya tarne.

Der Trojaner habe sich zumindest zum Teil über dieselbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch der im Mai für eine globale Attacke genutzte Erpressungstrojaner WannaCry, erklärten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In internen Netzen nutze Petya aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI.

Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt – doch das scheinen viele Firmen noch immer nicht installiert zu haben. Betroffen waren diesmal auch Systeme mit dem aktuellen Microsoft-Betriebssystem Windows 10. WannaCry konnte nur bei älteren Windows-7-Rechnern zuschlagen.

Mitte Mai hatte die WannaCry-Attacke hunderttausende Windows-Computer in mehr als 150 Ländern infiziert. Betroffen waren damals vor allem Privatpersonen – aber auch Unternehmen wie die Deutsche Bahn und Renault.