Wenn @actual_ransom  eine Nachricht absetzt, heißt das: wieder ein kleiner Erfolg für die Kriminellen. Wieder ist jemand irgendwo auf der Welt zu dem Schluss gekommen, dass er nun am besten 300 Dollar in Bitcoin an jemand Unbekannten zahlt - und dann die Daumen drückt, dass er danach wirklich wieder Zugang zu seinen Daten bekommt, die ein Trojaner auf seinem Rechner verschlüsselt hat.

@actual_ransom  ist ein Twitter-Bot, er hält die Umsätze dreier Bitcoin-Konten nach. Das Online-Magazin "Quartz" hat ihn programmiert, um die Folge eines der öffentlichkeitswirksamsten Cyberangriffe der jüngeren Tech-Geschichte besser verfolgbar zu machen. Landen in einem der Konten Bitcoin im Wert von 300 oder 600 Dollar, handelt es sich dabei um das Lösegeld von Betroffenen der sogenannten "WannaCry"-Cyberattacke, die seit Freitag Schlagzeilen macht.

In mindestens 150 Ländern hat die Erpressersoftware Computer-Dateien verschlüsselt, ein Pop-up-Fenster fordert danach zum Zahlen von 300 Dollar in Bitcoin auf. Mehr als 50.000 Dollar waren Opfer schon zu zahlen bereit, kein Wunder angesichts von 200.000 Organisationen und Personen, die allein am Freitag betroffen waren.

Was ist so außergewöhnlich an "WannaCry"?

Ransomware-Attacken sind nichts Neues, sie haben sich über die letzten Jahre als einer der großen Trends der Cybergaunerei etabliert. Schon vergangenes Frühjahr hatten viele Menschen mit verschlüsselten Dateien zu kämpfen, Software wie Locky, Teslacrypt oder Cryptolocker galt als Inbegriff der fiesen Digitalerpressung. In Deutschland trafen die Attacken mit solchen Programmen sogar einzelne Krankenhäuser, etwa in Neuss und Arnsberg.

Im Nachhinein, nach diesem zweiten Maiwochenende, wirkt das alles aber nur wie in Vorspiel. Mit "WannaCry" gab es nun einen Cyberangriff ähnlicher, im Detail aber doch anderer Art. Sogar auf Anzeigetafeln an Bahnhöfen war Freitag die Nachricht der Erpresser zu lesen. Was sonst einzelne Nutzer zur Verzweiflung treibt, war plötzlich vielerorts Gesprächsthema.

Für einen Moment konnte man beim Blick auf so einen Monitor das Gefühl haben, in einem schlechten Film gelandet zu sein - in einer Digital-Dystopie, in der die Maschinen nicht mehr unter der Kontrolle ihrer Herren sind.

Ein Brite wurde zum Helden

Zu diesem Gefühl passt zumindest auch, dass es im Fall WannaCry sogar einen Helden gab: Einen 22-jährigen Briten, bekannt unter dem Pseudonym "Malwaretech", der die erste Angriffswelle mit einer simplen Domain-Registrierung stoppen konnte, nach eigenen Angaben eher aus Versehen .

Und es gibt, wie in der Fantasy-Saga "Game of Thrones", Konflikte zwischen Großparteien - Intrigen, die dazu führen, dass am Ende die Bürger leiden. Konkret hatte wohl die NSA einen Weg gefunden, eine Sicherheitslücke in Microsofts Windows-Software auszunutzen. Der Geheimdienst entschied jedoch, dieses Wissen für sich zu behalten. Blöd nur, dass Hacker, die "Shadow Brokers", an das NSA-Werkzeug gelangten und es ins Netz stellten.

Auf Basis dieses Leaks konnte nun auch Kriminelle Software basteln und die Lücke ausnutzen, die Microsoft im März zunächst nur für aktuelle Betriebssyteme ausbesserte, so dass zum Beispiel die meisten Nutzer des längst veralteten Windows XP dem Angriff am Freitag kaum etwas entgegenzusetzen hatten.

Einmal im Netzwerk, schnell verbreitet

"Das Besondere an 'WannaCry' ist die Wurmfähigkeit, dank ihr hat sich die Software so schnell weiterverbreitet", sagt Helge Husemann, Experte bei der Sicherheitsfirma Malwarebytes, dem SPIEGEL. War die Software einmal in einem Computer-Netzwerk, habe sie andere Geräte befallen können, die dasselbe Leck im Betriebssystem haben: per Kabel, aber sogar übers WLAN.

Monika Schaufler, bei der Sicherheitsfirma Proofpoint für Deutschland, Österreich und die Schweiz zuständig, sagt, eine so sichtbare, so offensichtliche Attacke wie diesmal sei selten. "Wenn so etwas Firmen trifft, kriegt man das meist nicht mit", sagt Schaufler. "Kein Unternehmen will zugeben, dass es erpresst wurde oder dass es im Zweifel Lösegeld bezahlt hat."

Tatsächlich stellen Ransomware-Attacken wie "WannaCry" Privatmenschen wie Firmen vor dieselbe große Frage: Habe ich noch Sicherungen meiner wichtigsten Dateien? Hält sich der Verlust in Grenzen, wenn - wovon im Zweifel auszugehen ist - die Verschlüsselung der Dateien nicht in absehbarer Zeit geknackt werden kann?

Einmal zu schnell geklickt und ...

Im Fall von "WannaCry" ist schon das Aufarbeiten der Attacke für die Firmen eine Herausforderung. Bei vielen Ransomware-Angriffen lässt sich ein Problem gezielt auf eine bestimmte E-Mail zurückführen, auf ein Dokument, das man besser nicht hätte öffnen sollen. Bei "WannaCry" muss nur eine Person irgendwo im Firmennetzwerk einmal zu schnell auf einen Anhang geklickt haben.

David Grout von der Sicherheitsfirma FireEye meint, es sei zu früh, etwas über die Hintermänner der Attacke zu sagen. Wahrscheinlich werde es einige Wochen dauern, bis man auch nur sagen könne, ob man Cyberkriminelle hinter der Attacke vermutet.

Vielleicht - wenn die Angreifer keine Fehler machen, etwa beim Auszahlen ihrer Bitcoin - wird man es aber auch nie endgültig herausfinden, Ermittlungen von Polizeibehörden wie Europol zum Trotz. Die sogenannte Attribution, das Zuordnen von Cyberangriffen ist schwierig, zumal gerade die Methoden von Ransomware-Profis besser und besser werden.

Man fördert eine Parallelindustrie

Helge Husemann rät dazu, das zu bedenken, wenn man mit dem Gedanken spielt, für die Entschlüsselung seiner Daten zu zahlen. "Mit dem Geld fördert man eine Parallelindustrie", sagt er: Die Autoren der Software könnten sich durch das Geld bessere Kryptografen leisten oder auch bessere Psychologen - für ihre digitalen Erpresserschreiben, die schon jetzt professioneller daherkommen würden als noch vor einigen Jahren.

In jedem Fall ist klar: Ausgestanden ist das Problem Ransomware noch lange nicht. Solange etwa Geheimdienste akute Sicherheitslücken horten, statt sie den Herstellern zu übermitteln, kann sich das Szenario in ähnlicher, vielleicht sogar schlimmerer Form wiederholen. "Wir hatten noch Glück", bilanziert etwa David Grout gegenüber dem SPIEGEL.

So kann man einerseits froh sein, dass Microsoft überhaupt schon einen Patch für das Einfallstor in seiner Software veröffentlicht hatte - sonst wären potenziell wohl noch viel mehr Firmen angreifbar gewesen. Und anderseits führte auch das Vorgehen des Forscher, der die Domain registrierte, dazu, dass die erste Angriffswelle vergleichsweise schnell vorbei war. In neuen Versionen der Software, möglicherweise von Nachahmern, ist dieser Abschaltmechanismus schon gar nicht mehr integriert.

Vorsichtige Entwarnung

Am Montag war trotzdem erst einmal Aufatmen angesagt, Europol etwa gab vorsichtig Entwarnung. Es habe in Europa offenbar keine neuen infizierten Computer gegeben, sagte ein Sprecher, während es auch aus dem Weißen Haus hieß, die Lage in den USA sei unter Kontrolle. Auch die deutsche Bundesregierung erklärte, dass sich die Befürchtungen einer zweiten Angriffswelle bislang nicht bestätigt habe.

Von der Bahn, dem prominentesten deutschen Opfer, hieß es Montagnachmittag, der Betrieb laufe normal, obwohl es bei den elektronischen Anzeigetafeln in Dutzenden Bahnhöfen und bei einigen Fahrkartenautomaten immer noch Probleme gab. IT-Teams müssen die Fehlfunktionen nach und nach reparieren, das dauert. "Es könnte sich um Tage handeln", sagte ein Bahn-Sprecher dem SPIEGEL.