Bei der Stadtverwaltung von Baltimore stehen die Computer still. Grund dafür ist ein Cyberangriff, mit dem Hacker die US-Stadt erpressen wollen. Indirekt schuld an dem Chaos in der Stadt ist dabei die NSA. Denn von selbiger stammt das für die digitale Attacke genutzte Programm.

Mehr Panorama-Themen finden Sie hier

Vor drei Wochen fing alles an: Plötzlich ging nichts mehr auf tausenden Computern der Stadtverwaltung in Baltimore. E-Mails konnten nicht mehr versendet werden und bis auf Notrufe für Feuerwehr und Polizei funktionierte auch kaum noch ein anderer Bürgerservice.

Stattdessen erschien auf den eingefrorenen Computer-Bildschirmen eine Nachricht, welche die US-Stadt zu einer Zahlung von rund 100.000 Dollar in Bitcoins aufforderte.

Schuld an dem digitalen Chaos ist eine Hackergruppe, die sich selbst "Shadow Brokers" nennt. Bislang weigert sich die Stadt auf die Forderung der Erpresser einzugehen. Große Teile des Computersystems von Baltimore werden deshalb immer noch durch die Hacker behindert, auch wenn für einige Einschränkungen inzwischen Notlösungen gefunden wurden.

Ob hinter diesem Namen, der wahrscheinlich eine Anlehnung an einen Charakter aus dem Videospiel "Mass Effect" ist, US-Amerikaner, oder ausländische Hacker stecken, ist noch unklar.

Klar ist dafür aber, dass der digitale Angriff auf Baltimore seinen Ursprung nur wenige Kilometer von der Stadt entfernt hat und sogar von den Steuerzahlern der Stadt mitfinanziert wurde.

NSA entwickelte die Software für die Erpressung

Denn wie die "New York Times" durch aufwendige Recherchearbeiten herausfand, wurde die hauptsächlich für die Erpressung genutzte Software von der National Security Agency (NSA) entwickelt. Sie hört auf den Namen "EternalBlue" und macht sich einen Fehler innerhalb von Microsoft-Programmen zunutze.

Bei der Entwicklung der "Ransomware" (dt. "Erpressungssoftware") habe der Geheimdienst fast ein Jahr nach einer Schwachstelle in den Windows-Produkten gesucht, wie drei NSA-Mitarbeiter gegenüber der Zeitung angaben.

Anfangs brachte das Programm die von ihm infizierten Rechner noch regelmäßig zum Absturz, verpasste ihnen also einen "ewigen Blue Screen". Diese Eigenschaft brachte dem Programm nicht nur seinen Namen ein, sondern machte es auch relativ unbrauchbar für die geheime Infiltration von Computern, weil der Absturz das angegriffene Ziel aufschrecken könnte.
Doch im Laufe der Zeit entwickelte sich "EternalBlue" zu so einem zuverlässigen digitalen Werkzeug, dass die NSA sich bei seiner Arbeit immer stärker auf die Software verließ.

Wie ehemalige Mitarbeiter der Behörde angaben, war "EternalBlue" für die NSA sogar so hilfreich, dass man nie in Betracht gezogen habe, Microsoft über die Schwachstellen in seiner Software zu informieren. Ganze fünf Jahre setzte die NSA auf das Programm. Doch im April 2017 verlor sie die Kontrolle über "EternalBlue" und die Software wurde online von den "Shadow Brokern" veröffentlicht.

Seitdem wird "EternalBlue" von Hackern auf dem ganzen Planeten für Cyberattacken verwendet. So wie zum Beispiel bei der "Wannacry"-Attacke von vor zwei Jahren, von der Hunderttausende Computer betroffen waren. Zahlreiche davon auch in Deutschland. Die digitalen Angriffe aus Nordkorea, Russland und China haben inzwischen Schäden in Milliardenhöhe angerichtet.

USA wird von eigener Schöpfung erpresst

Die USA blieben bislang vor ihrer eigenen Schöpfung verschont. Doch seit knapp einem Jahr häufen sich auch in den Vereinigten Staaten Angriffe mithilfe von "EternalBlue". Baltimore ist dabei nur das aktuellste Opfer.

Auch das pennsylvanische Allentown oder die texanischen Stadt San Antonio seien beispielsweise mittels "EternalBlue" erpresst worden, wie die "New York Times" berichtet. Aufgrund ihrer veralteten technischen Ausstattung und mangelnden Sicherheitsmaßnahmen, stellt die Kommunalverwaltung ein besonders attraktives Ziel für die Hacker dar.

Die NSA hatte bereits kurz vor dem "Leak" der Schadsoftware Microsoft, sowie einige andere Technikunternehmen über die Sicherheitslücken informiert. Microsoft veröffentlichte anschließend zwar einen Patch, um das Problem zu beheben, dieser ist auf hunderttausenden Rechnern aber bis heute nicht installiert.

Einige Stimmen sehen deshalb einen Großteil der Schuld für Schäden durch Angriffe mit "EternalBlue" bei den Nutzern, beziehungsweise den Stadtverwaltungen, die besagtes Update auch zwei Jahre nach der Veröffentlichung noch nicht durchgeführt haben.

NSA spricht nicht über Vorfälle

Dass die Cyberattacken erst jetzt publik werden, liegt vorwiegend daran, dass sich die NSA bis heute weigert über die Vorfälle zu sprechen, geschweige denn anzuerkennen, die Kontrolle über das Programm überhaupt verloren zu haben.

"Die Regierung weigert sich die Verantwortung zu übernehmen oder auch nur die einfachsten Fragen zu beantworten", so Thomas Rid, Experte für Cybersicherheit an der John Hopkins Universität, gegenüber der "New York Times".

Rids Ansicht zufolge ist die Veröffentlichung von "EternalBlue" durch die "Shadow Broker" für die NSA sogar noch zerstörerischer und kostspieliger, als die Affäre um den Whistleblower Edward Snowden. Auch die betroffenen Städte dürften die Attacken mittels des Programms teuer zu stehen kommen: Im Falle von Allentown verursachten die Folgen des Hacks im Februar 2018 Kosten von rund einer Million US-Dollar. Dazu kommen 420.000 Dollar jährlich, die jetzt für neue Sicherheitsmaßnahmen ausgegeben werden, so Matthew Leibert, Leiter der Informationstechnik der Stadt im Gespräch mit der "New York Times".

Auch auf Baltimore könnten nun ähnliche Summen zukommen. Brandon Scott, Chef des dortigen Stadtrats, fordert deshalb Unterstützung von der US-Regierung. Wie die "Baltimore Sun" berichtet, will Scott außerdem erreichen, dass das Weiße Hause die Cyberattacke als Notfall im Bundesstaat Maryland anerkannt wird. Das würde automatisch Fördergelder der US-Regierung nach sich ziehen.

"Die Tatsache, dass die Wurzeln der Technologie, welche diese Attacke ermöglichte, von unserer eigenen Bundesstaatlichen Regierung stammen (...), fügt unserem Schaden auch noch Beleidigung hinzu", so der Stadtrat-Chef.

Verwendete Quellen:

  • The New York Times: In Baltimore and Beyond, a Stolen NSA Tool Wreaks Havoc
  • The Baltimore Sun: Baltimore political leaders seek briefings after report that NSA tool was used in ransomware attack
JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.