Ein groß angelegter Cyberangriff mit Hilfe einer Erpressungs-Software legt derzeit zahreiche IT-Systeme von europäischen Unternehmen wie Fluggesellschaften, Banken und Versorgern lahm. Ein Schwerpunkt des Angriffs ist laut The Verge dabei die Ukraine, in der unter anderem die Zentralbank, sowie die U-Bahn, die Eisenbahn und der größte Flughafen des Landes Boryspil der Hauptstadt Kiew einen IT-Angriff bestätigten. Auch der ukrainische Energieversorger Ukrenego meldete einen Angriff – ohne, dass dies allerdings Stromausfälle zur Folge gehabt habe. Der Internetauftritt der Regierung war ebenfalls betroffen.

An der Ruine des Katastrophen-Atomkraftwerks Tschernobyl musste die Radioakvität nach dem Ausfall von Windows-Computern manuell gemessen werden. Die Agentur für die Verwaltung der Sperrzone in Tschernobyl betonte, alle wichtigen technischen Systeme der Station funktionierten normal. „Aufgrund der temporären Abschaltung der Windows-Systeme“ finde die Kontrolle der Radioaktivität manuell statt. Die Website des nach dem schweren Unfall 1986 abgeschalteten Kraftwerks war nicht erreichbar. Im vergangenen Herbst wurde eine neue Stahlhülle über die Atomruine zum Schutz vor radioaktiver Strahlung geschoben. Dennoch muss die Umwelt ständig auf den Austritt von Radioaktivität überwacht werden.

Auch europäische Unternehmen außerhalb der Ukraine meldeten Angriffe: In der Hamburger Zentrale von Beiersdorf seien sowohl Computer als auch die gesamte Telefonanlage ausgefallen, berichtete der NDR. Offizielle Angaben von dem Dax-Unternehmen gab es dazu nicht. Das dänische Logistikunternehmen Maersk bestätigte via Twitter den Ausfall mehrerer IT-Systeme, ebenso das russische Ölunternehmen Rosnoft. Betroffen waren aber unter anderem auch der US-Lebensmittel-Riese Mondelez, der für Marken wie Milka und Oreo bekannt ist. Vereinzelt werden laut The Verge auch Angriffe in Frankreich und Großbritannien gemeldet.

Auf den infizierten Computern werden die Nutzer aufgefordert, den Kriminellen umgerechnet 300 US-Dollar zu überweisen und danach eine persönliche ID und die Nummer der Bitcoin-Wallet an eine E-Mail-Adresse von Posteo zu schicken. Der Berliner Anbieter ermöglicht das Registrieren komplett anonymer E-Mail-Adressen. Laut Posteo ist das betreffende E-Mail-Konto bereits seit Dienstagmittag gesperrt – die Summe zu bezahlen und dann die Erpresser kontaktieren zu wollen, dürfte also nicht funktionieren.

Kunden der staatseigenen ukrainischen Sparkasse wurden an Geldautomaten anderer Banken verwiesen. In den Filialen fänden nur Beratungen statt, hieß es. Mindestens vier weitere Banken, drei Energieunternehmen, die staatliche Post sowie ein privater Zusteller seien ebenso betroffen. Die Webseiten mehrerer Medienunternehmen funktionierten ebenfalls nicht mehr. Bei der Polizei gingen bis zum Nachmittag 22 Anzeigen ein, darunter auch von mindestens einem Mobilfunk-Anbieter. „Die Cyberpolizei klärt gerade die Ursache der Cyberattacke“, erklärte ein Sprecher des Innenministeriums.

Rosneft sprach bei Twitter von einer „massiven Hacker-Attacke“. Die Ölproduktion sei aber nicht betroffen, weil die Computer auf ein Reserve-System umgestellt worden seien. Auch die Tochterfirma Baschneft wurde in Mitleidenschaft gezogen. Mondelez berichtete bei Twitter ohne weitere Details von einem „IT-Ausfall“. Maersk erklärte bei Twitter, IT-Systeme diverser Geschäftsbereiche seien an verschiedenen Standorten lahmgelegt.

IT-Sicherheitsforscher von Kaspersky Lab identifizierten die Schadsoftware als den Virus Petrwrap, eine Variante der Ransomware Petya oder Petya.A, die bereits im März von Kaspersky entdeckt wurde. Eine von den IT-Spezialisten untersuchte Software wurde am 18. Juni kompiliert und dürfte damit schon länger aktiv sein. Laut einer Analyse von Virustotal erkennen derzeit aber nur 61 Antiviren-Softwares die Schadsoftware korrekt. Der Aufforderung, das Geld zu überweisen, sind bisher nur wenige der Opfer nachgekommen, wie ein Blick in die Bitcoin-Blockchain zeigt.

Der Trojaner habe sich zumindest zum Teil über die selbe Sicherheitslücke in älterer Windows-Software verbreitet wie auch Wannacry im Mai, betonten die IT-Sicherheitsfirma Symantec und das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In internen Netzen nutze Petya aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI. „Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernstzunehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben“, erklärte BSI-Präsident Arne Schönbohm.

Die Windows-Schwachstelle wurde ursprünglich vom US-Abhördienst NSA ausgenutzt. Hacker machten sie im vergangenen Jahr öffentlich. Es gibt zwar schon seit Monaten ein Update, das sie schließt – doch immer noch scheinen viele Firmen die Lücken in ihren Systemen nicht gestopft zu haben.

Mitte Mai hatte die Wannacry-Attacke hunderttausende Computer in mehr als 150 Ländern mit dem Betriebssystem Windows betroffen. Dabei sorgte eine seit Monaten bekannte Sicherheitslücke im veralteten Windows XP für eine schnelle Ausbreitung. Betroffen waren vor allem Verbraucher – aber auch Unternehmen wie die Deutsche Bahn und Renault. Mit Material von dpa