Ransomware WannaCry: Den Angriff, seine Zahlen und Lösungen verstehen
Im Mai 2017 löste die Ransomware WannaCry eine Welle von Angriffen in selten gesehenem Ausmaß aus, die Unternehmen, Krankenhäuser, Behörden und Privatpersonen auf der ganzen Welt betrafen.
Was ist ein Angriff mit WannaCry-Ransomware?
Um WannaCry richtig zu verstehen, müssen wir uns zunächst einmal vergegenwärtigen, was Ransomware ist. Ransomware ist eine bösartige Software, die Ihre Dateien verschlüsselt, den Zugriff darauf verhindert und dann ein Lösegeld, meist in Kryptowährung, für die angebliche Entschlüsselung der Dateien verlangt.
Ein WannaCry-Ransomware-Angriff folgt im Großen und Ganzen demselben Prinzip, aber mit Merkmalen, die ihn besonders besorgniserregend und damals fast pandemisch erscheinen ließen:
- Infektion: Die Malware installiert sich auf einem anfälligen Windows-Rechner, oft über einen offenen Netzwerkport, ohne dass der Benutzer etwas tun muss.
- Verschlüsselung: Die wichtigsten Dateien werden verschlüsselt (Dokumente, Bilder, Datenbanken), was die tägliche Arbeit fast unmöglich macht.
- Lösegeldforderung: Es wird eine Nachricht angezeigt, in der normalerweise 300 bis 600 US-Dollar in Bitcoin gefordert werden, mit einem Countdown und der Drohung, die Daten zu löschen.
- Automatische Verbreitung: Das ist die Besonderheit von WannaCry, er verbreitet sich innerhalb eines Netzwerks fast selbstständig von Rechner zu Rechner.
Mit anderen Worten: Wenn Sie sich in der Rolle eines IT-Managers im Jahr 2017 befanden, konnte ein einziger infizierter, nicht gepatchter Rechner ausreichen, um schnell einen großen Teil Ihres Geräteparks zu infizieren, was einen beeindruckenden Dominoeffekt auslöste.

Rückblick auf 2017: Der WannaCry-Angriff in einigen Schlüsselzahlen
Um die Schwere der WannaCry-Episode zu ermessen, ist es hilfreich, sich einige Zahlen anzusehen, die aus öffentlichen Berichten sowie aus Analysen verschiedener Akteure im Bereich der Cybersicherheit stammen.
| Indikator | Ungefährer Wert | Kommentare |
| Infizierte Maschinen | > 200 000 | Computer, die in den ersten Tagen des Angriffs weltweit kompromittiert wurden. |
| Betroffene Länder | ≈ 150 | Vorkommen auf allen Kontinenten nachgewiesen, auch in Europa, Asien und Amerika. |
| Gesamtbetrag des gezahlten Lösegelds | Etwa 130.000 $ | Summe, die auf den mit dem Angriff verbundenen Bitcoin-Wallets beobachtet wurde. |
| Gesamtwirtschaftliche Kosten | Mehrere Milliarden $ | Schätzungen liegen, je nach Quelle, zwischen 4 und 8 Milliarden US-Dollar an Verlusten. |
| Betroffene Unternehmen | Zehntausende | Große Industrieunternehmen, Krankenhäuser und nationale Behörden. |
Konkret mussten öffentliche Gesundheitsdienste Tausende von Terminen verschieben, Produktionslinien standen still und der Verkehr wurde gestört. Der Schock war so groß, dass die Cybersicherheit in vielen Organisationen von einem Randthema zu einem strategischen, ja fast existenziellen Anliegen wurde.
Wie konnte sich WannaCry so schnell verbreiten?
An dieser Stelle fragen Sie sich vielleicht, wie sich eine einzelne Ransomware in so kurzer Zeit so weit verbreiten konnte. Die Antwort liegt in einer Verkettung technischer, organisatorischer und menschlicher Faktoren.
Kritische Windows-Schwachstelle im großen Stil ausgenutzt
WannaCry nutzt eine Schwachstelle im SMBv1(Server Message Block)-Protokoll von Microsoft-Windows-Systemen aus, die unter der Bezeichnung MS17-010 bekannt ist. Microsoft hatte im März 2017, also etwa zwei Monate vor dem großen Angriff im Mai 2017, einen Sicherheits-Patch veröffentlicht.
In der Praxis hatten viele Organisationen den Patch noch nicht eingespielt, manchmal aus Zeitmangel, manchmal aus Angst, alte Anwendungen zu stören, manchmal einfach, weil es keinen strengen Aktualisierungsprozess gab. WannaCry nutzte diese Schwachstelle aus und verbreitete sich fast automatisch von Rechner zu Rechner.
Ein „Wurm“ statt einfacher Ransomware
Eine wichtige, oft nicht bekannte Feinheit ist die Art der Verbreitung. WannaCry ist nicht nur Ransomware, sondern auch ein Computerwurm (Worm). Das bedeutet, dass er Netzwerke scannt und aktiv nach anderen anfälligen Rechnern sucht, um sich dort ohne Benutzerinteraktion zu kopieren.
In einem Unternehmensnetzwerk mit häufig miteinander verbundenen, manchmal nur wenig segmentierten Arbeitsplätzen kann sich ein solcher Wurm innerhalb weniger Minuten ubiquitär verbreiten und die Reaktionsfähigkeit der internen Teams sehr schnell überfordern.
Veraltete Systeme und ein lückenhaftes Patchmanagement
Ein weiterer entscheidender Faktor ist, dass in den betroffenen Organisationen viele veraltete oder nicht gewartete Systeme vorhanden sind. Diese Systeme werden zwar nicht mehr standardmäßig unterstützt, werden aber immer noch zur Steuerung von Industrieanlagen oder Spezialterminals verwendet.
Diese Maschinen, die selten neu gestartet wurden und manchmal als zu „sensibel“ für Updates angesehen wurden, erwiesen sich als ideale Eintrittspunkte für WannaCry und erleichterten eine systemische Ausbreitung, die nur schwer einzudämmen war.
Welche Lehren ziehen Sie heute für sich aus WannaCry?
Die gute Nachricht ist, dass die WannaCry-Episode für viele Organisationen als ein fast kathartischer Auslöser gewirkt hat. Er hat auf brutale Weise die Schwächen bestimmter Praktiken aufgedeckt und gezeigt, dass sich das Risiko durch koordinierte und regelmäßige Anstrengungen erheblich verringern lässt.
Wenn Sie sich in Ihren eigenen Kontext projizieren, ob Sie nun Führungskraft, IT-Manager oder einfach nur betroffener Nutzer sind, ergeben sich mehrere konkrete Erkenntnisse.
1. Systemaktualisierung ist nicht mehr optional
Die erste und wichtigste Lektion: Ein System, das nicht auf dem neuesten Stand ist, stellt die gesamte Organisation bloß, nicht nur die betroffene Stelle. Im Fall von WannaCry sind zwei Elemente besonders aussagekräftig:
- Der Patch MS17-010 war 2 Monate vor dem massiven Angriff verfügbar.
- Organisationen, die diesen Patch rechtzeitig eingespielt hatten, blieben in der Regel verschont oder waren nur geringfügig betroffen.
Für Sie bedeutet dies, dass Sie einen klaren, dokumentierten und regelmäßigen Patch-Management-Prozess benötigen. Auch wenn manche Updates prosaisch oder umständlich erscheinen, kann ihr Ausbleiben unverhältnismäßig große Auswirkungen haben, wenn eine Schwachstelle in großem Umfang ausgenutzt wird.
2. Zuverlässige Backups bleiben Ihr ultimatives Sicherheitsnetz
Eine weitere grundlegende Erkenntnis betrifft Backups. Viele von WannaCry betroffene Organisationen stellten unter Zeitdruck fest, dass ihre Datensicherungen unvollständig waren, schlecht getestet wurden oder auf Medien gespeichert waren, auf die die Ransomware selbst zugreifen konnte.
Um die Auswirkungen von Ransomware zu begrenzen und schnell wieder einsatzfähig zu sein, sind Backups von entscheidender Bedeutung:
- Regelmäßig: Täglich, mindestens aber wöchentlich, je nachdem, wie kritisch Ihre Daten sind.
- Entkoppelt: Mindestens eine Kopie muss offline oder logisch vom Netzwerk isoliert sein.
- Getestet: Die Restauration muss regelmäßig und fast methodisch überprüft werden.
Organisationen, die über robuste Backups verfügten, konnten trotz des Angriffs ihre Systeme wiederherstellen, den Datenverlust begrenzen und häufig die Zahlung des Lösegelds vermeiden, was einen entscheidenden Vorteil darstellt.
3. Die Segmentierung des Netzwerks begrenzt die Ausbreitung
WannaCry profitierte von wenig segmentierten Netzwerken, in denen ein infizierter Rechner zu frei mit dem Rest der Infrastruktur kommunizieren konnte. Wenn Sie Ihr Netzwerk stärker abschotten, verwandeln Sie es in eine Reihe von wasserdichten Abteilungen, wodurch die laterale Ausbreitung von Malware drastisch eingeschränkt wird.
Konkret geht es um :
- Isolieren Sie kritische Server durch strenge Filterregeln von den Endgeräten.
- Trennen Sie die Produktions-, Test- und Administrationsumgebungen.
- Beschränken Sie die Verwendung alter Protokolle wie SMBv1 nur auf absolut notwendige Fälle oder deaktivieren Sie sie sogar ganz.
So wird der Angriff selbst dann eingedämmt, wenn ein Zugangspunkt kompromittiert wird, und Ihre Reaktionsmöglichkeiten bleiben intakt.

Welche konkreten Maßnahmen sollten gegen Ransomware, einschließlich WannaCry, ergriffen werden?
Kommen wir nun zu einem eher operativen Aktionsplan, den Sie an Ihre Organisation anpassen können, egal ob es sich um eine kleine oder große Organisation handelt. Ziel ist es, die Wahrscheinlichkeit einer Infektion und die Auswirkungen eines Vorfalls, falls er dennoch eintritt, so weit wie möglich zu verringern.
1. Eine strenge Update-Politik einführen
Sie ist oft die kosteneffektivste Maßnahme und wird dennoch manchmal vernachlässigt. Eine effektive Politik sollte Folgendes umfassen:
- Eine genaue Bestandsaufnahme der in Ihrer Organisation verwendeten Systeme und Software.
- Ein automatischer oder halbautomatischer Prozess für das Einspielen von Sicherheitspatches.
- Schnelle, aber systematische Tests in einem kleinen Umkreis vor einem globalen Einsatz.
- Eine Überwachung veralteter Systeme mit einem Plan für deren Austausch bzw. für eine verstärkte Isolierung.
Auf diese Weise können Sie die Angriffsfläche nicht nur für WannaCry, sondern auch für eine Vielzahl anderer Malware erheblich verringern.
2. Deaktivieren Sie vererbte Protokolle, wenn möglich
WannaCry nutzte eine alte und anfällige Version des SMB-Protokolls aus. Eine gute Praxis ist es, als veraltet geltende Protokolle zu deaktivieren oder einzuschränken, wann immer dies möglich ist, ohne Ihren Betrieb zu gefährden.
Mit anderen Worten: Es kann sinnvoll sein, :
- Deaktivieren Sie SMBv1, außer in sehr speziellen, gut begründeten Fällen.
- Begrenzen Sie die Gefährdung sensibler Dienste nach außen durch Firewalls, und Zugriffskontrolllisten.
- Das Prinzip des geringsten Privilegs umsetzen, sodass jede Abteilung, jeder Nutzer nur über die unbedingt notwendigen Rechte verfügt.
Diese Anpassungen, die manchmal als technisch wahrgenommen werden, haben jedoch einen sehr greifbaren Effekt auf die allgemeine Widerstandsfähigkeit Ihres Informationssystems.
3. Den Schutz von PCs und Servern verstärken
Parallel dazu ist ein Grundstock an technischem Schutz auf Arbeitsstationen und Servern unerlässlich. Dazu gehören insbesondere
- Ein Antivirusprogramm oder eine Endpoint-Sicherheitslösung, die auf dem neuesten Stand und richtig konfiguriert ist.
- Filterung von Anhängen und Links in E-Mails.
- Eine Blockierung der Ausführung von unbekannten oder nicht genehmigten Programmen, soweit dies möglich ist.
- Protokollierung von Sicherheitsereignissen, um die Früherkennung und die Analyse von Vorfällen zu erleichtern.
Diese Maßnahmen sind bei weitem kein Allheilmittel, erhöhen aber Ihre Fähigkeit, einen Angriff zu erkennen und zu blockieren, bevor er sich weit ausbreiten kann.
4. Sensibilisierung der Nutzer, auf pragmatische Weise
WannaCry hat sich hauptsächlich über eine Netzwerkschwachstelle verbreitet, aber viele Ransomware-Programme vor und nach WannaCry nutzen menschliches Versagen als Hebel für eine Infektion. Aus diesem Grund ist neben der Technologie auch die Sensibilisierung der Nutzer ein entscheidender Pfeiler.
Es ist z. B. hilfreich, Ihren Teams klar zu erklären:
- Wie Sie eine verdächtige E-Mail, einen fragwürdigen Anhang oder einen inkonsistenten Link erkennen können.
- Warum Sie niemals unbekannte USB-Sticks einstecken sollten, auch wenn es harmlos erscheint.
- Was sind gute Praktiken für Passwörter, und Multi-Faktor-Authentifizierung.
- Wie Sie im Zweifelsfall sofort reagieren sollten: alarmieren, Maschine isolieren, nicht ohne Anweisung wieder starten.
Regelmäßige, konkrete Schulungen mit realistischen Beispielen tragen dazu bei, dass Ihre Mitarbeiter nicht mehr als schwächstes Glied, sondern als aktive Verteidigungslinie fungieren.
5. Einen Plan zur Reaktion auf Vorfälle vorbereiten
Schließlich gibt es trotz aller Vorsichtsmaßnahmen kein Nullrisiko. Deshalb ist ein klarer und bewährter Plan zur Reaktion auf Vorfälle ein wichtiger Bestandteil Ihrer Vorkehrungen.
Dieser Plan sollte explizit angeben :
- Wen Sie bei einem Verdacht auf Ransomware alarmieren sollten und über welchen Kanal.
- Wie man einen kompromittierten Rechner oder ein Netzwerksegment schnell isoliert.
- Welche Schritte bei der Wiederherstellung, seit den Sicherungskopien, vorrangig sind.
- Welche externen Ansprechpartner sind gegebenenfalls zu mobilisieren (Cyber-Versicherer, Dienstleister, zuständige Behörden).
Wenn Sie diese Verfahren im Voraus vorbereiten, sparen Sie wertvolle Zeit und verringern das Risiko, dass in Panik improvisierte, manchmal teure Entscheidungen getroffen werden.
Muss man bei einem Angriff vom Typ WannaCry Lösegeld zahlen?
Diese Frage stellt sich oft, vor allem wenn kritische Daten verschlüsselt sind und der emotionale Druck hoch ist. Im Fall von WannaCry haben viele Organisationen nicht gezahlt, entweder weil sie über Backups verfügten oder weil sie an der tatsächlichen Fähigkeit der Angreifer, die Daten zurückzugeben, stark zweifelten.
Aus allgemeiner Sicht wird von der Zahlung des Lösegelds aus mehreren Gründen weiterhin abgeraten:
- Es gibt keine Garantie dafür, dass Sie Ihre Daten wiederbekommen, selbst wenn Sie dafür bezahlen.
- Sie finanzieren potenziell die Fortsetzung krimineller Aktivitäten.
- Es besteht die Gefahr, dass Sie als „zahlungsfähiges“ Ziel identifiziert und damit erneut ins Visier genommen werden.
Gerade um nicht in dieses Dilemma zu geraten, ist es so wichtig, bereits im Vorfeld in Prävention, Schutzmaßnahmen und Einsatzbereitschaft zu investieren.
Fazit: Von der WannaCry-Episode zu einer reiferen Cybersicherheit
WannaCry war eine fast brutale Enthüllung der Schwachstellen, die sich im Laufe der Jahre in vielen Informationssystemen angesammelt haben, wenn man einen Schritt zurücktritt. Er hat aber auch gezeigt, dass die Auswirkungen eines solchen Angriffs mit ausgereifteren Praktiken, regelmäßigen Updates, zuverlässigen Backups und einer besser vorbereiteten Organisation stark abgemildert werden können.
Wenn Sie sich in Ihre Lage versetzen, sei es als Leiter einer kleinen Organisation, eines großen Konzerns oder als einfacher Nutzer, sollten Sie sich vor Augen halten, dass der Schutz vor Ransomware nicht unerreichbar ist. Wenn Sie diese bewährten Verfahren anwenden und die Lehren aus WannaCry ziehen, können Sie die Widerstandsfähigkeit Ihrer Systeme nachhaltig stärken, mehr Gelassenheit gewinnen und die Wahrscheinlichkeit verringern, dass Ihre Organisation eines Tages durch eine unerwartete Lösegeldforderung lahmgelegt wird.
17. Dezember 2025






