Cyberattacke stört Paketdienste massiv

Der weltweite Cyberangriff trifft Logistikfirmen. TNT Express meldet massive Störungen, der Mutterkonzern warnt gar vor einem drohenden „erheblichen“ finanziellen Schaden. Auch bei DHL und Reeder Maersk gibt es Probleme.


Weltweit agierende Unternehmen haben nach wie vor mit den Folgen des massiven Cyberangriffs von Dienstag zu kämpfen. Beim US-Logistikriesen Fedex war der weltweite Betrieb der Tochter TNT Express massiv gestört. Der finanzielle Schaden könne „erheblich“ sein, warnte Fedex, der TNT erst vor einem Jahr für 4,4 Milliarden Euro schluckte, am späten Mittwoch. Es sei jedoch keine Datenschutzverletzung aufgetreten.

Wie das Unternehmen mitteilte, wurden die Inlands- und regionalen Dienste des Konzerns durch die Systemstörung verlangsamt. Zudem gebe es Verspätungen bei interkontinentalen Lieferungen. Auf Twitter klagten Kunden darüber, dass sie ihre Pakete nicht nachverfolgen konnten. TNT bat seine Kunden, sich vor dem Versand über die Hotline zu informieren.


Gleichzeitig aber gibt sich das Unternehmen verschwiegen. Auf Anfrage wollte ein Sprecher weder verraten, welche Länder im Einzelnen betroffen sind, noch gibt die Fedex-Tochter bekannt, woher der Angriff stammte.

Schon am Dienstag warnte die Deutsche Post, ihr Express-Geschäft in der Ukraine sei Opfer einer Cyberattacke geworden. Der Konzern, der seine IT zum Großteil aus Prag steuert, fand inzwischen heraus: Infiziert wurden die Rechner durch eine Buchhaltungs-Software, über die DHL mit den ukrainischen Finanzbehörden verbunden ist – und damit zu Rechnern der Regierung. Außerhalb der Ukraine sei jedoch kein Schaden entstanden. „Auch im Land selbst werden Sendungen weiter bearbeitet“, sagte eine Sprecherin. Wegen möglicher Verzögerungen stehe man mit Kunden in Kontakt.

Bei der Reedereigruppe Maersk blieben Terminals in mehreren Häfen lahmgelegt. Der Betrieb wurde durch den Ausfall automatisierter Systeme behindert. Die Maersk-Line-Reederei könne auch keine neuen Aufträge annehmen, weil das entsprechende Portal betroffen sei, sagte Top-Manager Vincent Clerc dem Finanzdienst Bloomberg.


Betroffen sind Kunden weltweit, vor allem mehreren Häfen Indiens, aber auch in Mobile/Alabama oder Port Elizabeth/New Jersey. Manager in Australien und Neuseeland klagten sogar, der Konzern habe aus Sicherheitsgründen Telefonanlagen und E-Mail-Accounts außer Betrieb genommen. Unterstützung erhalten die Dänen allerdings von der italienischen Containerreederei MSC. Mit ihr ist Maersk in der Seefahrtsallianz „2M“ seit Jahren verbunden.

Auch beim Nivea-Konzern Beiersdorf liefen noch nicht alle Systeme. „Wir haben Tag und Nacht gearbeitet, aber wir sind noch nicht über den Berg“, sagte Vorstandschef Stefan Heidenreich. Bislang seien die wirtschaftlichen Schäden der Attacke aber vergleichsweise gering. Es gebe ausreichend Lagerbestände, um den Einzelhandel zu versorgen. Bei Beiersdorf wurde unter anderem die Telefonanlage von der Attacke getroffen.

Die Schadsoftware hatte am Dienstag zunächst Dutzende Unternehmen und Behörden in der Ukraine befallen und erfasste dann auch Unternehmen in Europa und den USA. Betroffen waren neben Beiersdorf (Nivea, Tesa) der US-Pharmakonzern Merck und der französische Glashersteller Saint-Gobain. Nach Vermutungen ukrainischer Behörden und einiger IT-Sicherheitsexperten wurde die Attacke über ein manipuliertes Update einer Buchhaltungssoftware aus der Ukraine gestartet.


Am Mittwoch stellten Experten durch eine Analyse des Software-Codes fest, dass sich das Angriffsprogramm nur als Erpressungstrojaner tarnte, aber in Wirklichkeit Daten löschte, statt sie zu verschlüsseln. Bei Erpressungssoftware wird üblicherweise der Inhalt der Festplatte verschlüsselt, um Lösegeld für eine Freischaltung zu verlangen. Die Angreifer von Dienstag scheinen aber nicht am Geldverdienen interessiert gewesen zu sein. Bis Donnerstag gingen bei ihnen nur 45 Zahlungen ein.

KONTEXT

Was ist Ransomware?

Was sind Malware und Ransomware?

Malware ist ein allgemeiner Begriff, der Software bezeichnet, die schädlich ist, wie John Villasenor, Professor an der Universität von Kalifornien, erklärt. Ransomware sei ein Typ von Malware, der in erster Linie Computer übernehme und deren Nutzer daran hindere, an Daten zu gelangen, bis ein Lösegeld dafür gezahlt werde, so Villasenor.

Wie wird der Computer mit Ransomware infiziert?

In den meisten Fällen befällt die Ransomware den Computer durch Links oder Anhänge in schädlichen E-Mails, auch bekannt als sogenannte Phishing-Mails. Der beste Tipp sei hierbei, einfach nicht auf Links in E-Mails zu klicken, sagt Jerome Segura von der US-Softwarefirma Malwarebytes, die Softwares gegen die Ransomware anbietet. Ziel der Ransomware sei es, den Nutzer dazu zu bekommen, einen schädlichen Code zu aktivieren. Klicken die Nutzer einmal auf den schädlichen Link oder den Anhang, gelangt die Schadsoftware auf den Computer.

Was passiert bei Ransomware?

Wie der Name der Ransomware - "ransom" ist das englische Wort für Lösegeld - nahelegt, nimmt die schädliche Software Daten quasi als Geisel. "Sie findet alle Ihre Dateien, verschlüsselt diese und hinterlässt eine Nachricht", sagt Peter Reiher, Professor an der Universität von Kalifornien. "Wenn Sie möchten, dass sie entschlüsselt werden, müssen Sie bezahlen." Die Ransomware benutzt für die Verschlüsselung einen Schlüssel, den nur der Angreifer kennt. Zahlt der Nutzer das Lösegeld nicht, sind die Dateien oft für immer verloren, weil sie nicht mehr entschlüsselt werden können.

Hat die Ransomware einen Computer übernommen, sind die Angreifer mit ihren Forderungen meist sehr direkt, wie Segura sagt. In vielen Fällen ändern sie das Hintergurndbild des Bildschirms des PCs und geben sehr genaue Anweisungen, wie der Nutzer das Geld bezahlen kann. Viele der Hacker verlangen zwischen 300 und 500 Dollar, um die Dateien wieder zu entschlüsseln. Der Preis dafür kann sich auch verdoppeln, wenn nicht innerhalb von 24 Stunden bezahlt wird. Vertreter der Strafverfolgung raten jedoch, kein Lösegeld zu bezahlen.

Wie können solche Attacken verhindert werden?

Der erste Schritt sei es, umsichtig zu sein, so Experten. Eine "perfekt Lösung" für das Problem gäbe es jedoch nicht, sagt Villasenor. Nutzer sollten regelmäßig ihre Daten sichern und prüfen, dass Sicherheits-Updates installiert werden, sobald diese veröffentlicht werden. Die Attacke von Freitag nutzte eine Sicherheitslücke von Microsoft Windows, für die nach Angaben des Unternehmens bereits Updates bereitgestellt worden waren. Viele Nutzer hatten sie jedoch noch nicht installiert.

Nutzer sollten zudem auf schadhafte E-Mails achten, die oft als E-Mails von Firmen oder Menschen getarnt sind, mit denen häufig E-Mail-Kontakt besteht. Es sei wichtig, nicht auf Links oder Anhänge zu klicken, da diese die Ransomware freisetzten, so Villasenor.