Wie ein 22-jähriger Forscher die größte Ransomware-Attacke der Geschichte stoppte
Am 12. Mai 2017 um 7:44 Uhr UTC verbreitete sich die Ransomware WannaCry wie ein Lauffeuer durch digitale Systeme auf der ganzen Welt. Noch bevor der Tag zu Ende war, hatte die Schadsoftware zwischen 200.000 und 300.000 Computer in mehr als 150 Ländern infiziert. Doch es war nicht die schiere Anzahl der befallenen Maschinen, die diesen Cyberangriff zu einem der berüchtigtsten der Geschichte machte. Es waren die Folgen für Millionen von Menschen, die dringend medizinische Hilfe benötigten.
In Großbritannien nahm der Angriff besonders verheerende Ausmaße an. Insgesamt 81 NHS-Trusts in England und Schottland wurden von der Cyberattacke getroffen. Noch schlimmer: 34 NHS-Trusts wurden komplett von ihren Systemen ausgesperrt – darunter 27 Akutkrankenhäuser, die eigentlich akute medizinische Versorgung hätten leisten sollen.
Die Folgen waren konkret und menschlich verheerend. Über 19.000 Termine beim NHS wurden abgesagt. Patienten wurden ohne Behandlung nach Hause geschickt. Operationen mussten verschoben werden. Das britische Gesundheitsministerium schätzte später, dass der Angriff das NHS 92 Millionen Pfund gekostet hat.
Beginn des WannaCry-Angriffs
Um 7:44 Uhr UTC beginnt sich die Ransomware WannaCry weltweit zu verbreiten. Innerhalb weniger Stunden sind Hunderttausende Computer infiziert.
NHS wird lahmgelegt
81 NHS-Trusts in England und Schottland werden getroffen, 34 davon komplett von ihren Systemen ausgesperrt. Tausende Termine werden abgesagt.
Marcus Hutchins entdeckt den Kill Switch
Der 22-jährige Cybersicherheitsforscher MalwareTech findet heraus, dass die Malware nach einem bestimmten Domainnamen sucht und registriert diesen.
WannaCry wird gestoppt
Um 15:03 Uhr UTC – weniger als 8 Stunden nach Beginn – wird die Verbreitung von WannaCry durch den aktivierten Kill Switch beendet.
Offizielle Schadensbilanz
Das britische Gesundheitsministerium veröffentlicht einen Bericht: Der Angriff kostete das NHS 92 Millionen Pfund, über 19.000 Termine wurden abgesagt.
Die für den Angriff verwendete Technologie war von der amerikanischen National Security Agency gestohlen worden. Der Angriff nutzte eine Sicherheitslücke in Microsoft Windows – und das war das Verhängnisvollste: Das NHS hatte die längst verfügbaren Sicherheitsupdates nicht installiert.
Die Ransomware verschlüsselte die Daten auf den infizierten Computern und forderte Lösegeld in Bitcoin. Doch während sich die Erpresser auf hohe Einnahmen freuten, arbeitete auf der anderen Seite des Atlantiks ein junger Forscher fieberhaft an einer Lösung.
Während Krankenhäuser lahmgelegt wurden und die Welt den Atem anhielt, arbeitete Marcus Hutchins verzweifelt daran, eine Lösung zu finden. Der damals 22-jährige Cybersicherheitsforscher, der unter dem Pseudonym MalwareTech operierte, entdeckte etwas Entscheidendes: Die Ransomware war so programmiert, dass sie nach einem bestimmten Domainnamen suchte. Falls diese Domain registriert würde, würde die Malware aufhören, sich weiter zu verbreiten.
Hutchins handelte schnell. Er registrierte den Domainnamen – und aktivierte damit unbeabsichtigt einen "Kill Switch" in der Schadsoftware. Was die Entwickler der Malware als Sicherheitsmechanismus eingebaut hatten, wurde ihnen zum Verhängnis.
Um 15:03 Uhr UTC am selben Tag – weniger als acht Stunden nach Beginn des Angriffs – wurde die WannaCry-Ransomware gestoppt. Es war eine der außergewöhnlichsten Geschichten in der Geschichte der Cyberangriffe: Ein junger Forscher hatte fast durch Zufall Millionen Menschen vor noch schlimmeren Folgen bewahrt.
Marcus Hutchins wurde über Nacht zum Helden. Medien weltweit berichteten über den jungen Mann, der aus seinem Schlafzimmer heraus einen globalen Cyberangriff beendet hatte. Doch sein Leben sollte danach kompliziert werden – 2017 wurde er in den USA wegen früherer Cyberkriminalität verhaftet, später jedoch zu einer Bewährungsstrafe verurteilt.
Eine wichtige Wahrheit wurde jedoch nie vollständig geklärt: Die Identität der Person oder Personen hinter dem Angriff ist bis heute nicht aufgeklärt. Ermittlungen haben auf nordkoreanische Quellen hingedeutet, konkret auf die Hackergruppe Lazarus Group, die mit dem nordkoreanischen Regime in Verbindung gebracht wird. Doch öffentlich zugängliche, eindeutige Beweise gibt es nicht.
Der WannaCry-Angriff offenbarte die erschreckende Verwundbarkeit kritischer Infrastrukturen. Das NHS war nicht das einzige Opfer – auch Unternehmen wie Renault, FedEx und die Deutsche Bahn waren betroffen. Der Vorfall zeigte, wie wichtig regelmäßige Sicherheitsupdates sind und wie verheerend die Folgen sein können, wenn Organisationen ihre IT-Sicherheit vernachlässigen.