Bis dahin entdeckte die IT-Sicherheitsfirma Avast rund 75 000 betroffene Computer in 99 Ländern, mit einem Schwerpunkt auf Russland, die Ukraine und Taiwan. Die Computer wurden von sogenannten Erpressungstrojanern befallen, die sie verschlüsseln und Lösegeld verlangen. Es ging zunächst um 300 Dollar. Wenn nicht schnell bezahlt wurde, verdoppelte sich die Forderung.

Neu für diese Art von Schadsoftware war, dass sie von alleine neue Computer ansteckte, ohne dass ein Nutzer etwa auf einen präparierten Link klickte. Dadurch konnte sie sich binnen weniger Stunden weltweit ausbreiten und erreichte ein für Lösegeld-Software beispielloses Ausmaß.

Das wurde erst möglich, weil das Programm laut Experten eine Sicherheitslücke ansteuerte, die ursprünglich der US-Abhördienst NSA für seine Überwachung nutzte. Vor einigen Monaten hatten Hacker sie aber öffentlich gemacht. Die Schwachstelle wurde zwar bereits im März grundsätzlich von Microsoft geschlossen - aber jetzt traf es die Computer, auf denen das Update noch nicht installiert wurde.

Glücklicherweise scheinen die Angreifer eine Art Notbremse in ihr Programm eingebaut zu haben - und die Attacke wurde abgewürgt, nachdem ein IT-Forscher den Mechanismus auslöste. Der Betreiber des Blogs „MalwareTech“ fand nach eigenen Angaben einen Web-Domainnamen im Computercode der Schadsoftware und registrierte ihn. Die Aktivierung reichte aus, um die Ausbreitung zu stoppen.

Denn das Angriffsprogramm versuche bei jeder Infektion eines neuen Rechners, diese Webadresse anzusteuern, erklärte die Sicherheitsfirma Malwarebytes. Ist die Domain aktiv, bleibt die Attacke aus. Der Sicherheitsforscher von „MalwareTech“ selbst räumte ein, ihm sei zunächst gar nicht bewusst gewesen, dass er mit dem Schritt die Attacke stoppen würde. Er sei ein „Held durch Zufall“, sagte Ryan Kalember von der IT-Sicherheitsfirma Proofpoint der Zeitung „Guardian“.

Zugleich warnten Experten, dass die Angreifer jederzeit mit einer modifizierten Version ihrer Software zurückkommen könnten. Deshalb müsse man die Ruhe jetzt dringend nutzen, um den Schutz der Computer auf den neuesten Stand zu bringen. Microsoft veröffentlichte außerplanmäßig ein Update, mit dem die Lücke auf eigentlich nicht mehr unterstützten Computern mit dem alten Betriebssystem Windows XP geschlossen werden kann.

Am Freitag hatten die Folge der Attacke viel Aufsehen erregt. In Großbritannien wurden Krankenhäuser lahmgelegt, in Spanien war der Telekom-Konzern Telefónica betroffen und in den USA den Versanddienst FedEx. Renault stoppte am Samstag die Produktion in mehreren französischen Werken - um die Ausbreitung der Schadsoftware zu verhindern, wie es hieß.

Die europäische Ermittlungsbehörde Europol sprach von einem „beispiellosen Ausmaß“ der Attacke und regte ein internationales Vorgehen der Behörden an, um die Hintermänner zu finden.

Bei der Deutschen Bahn fielen teilweise digitale Anzeigetafeln sowie Ticketautomaten an Bahnhöfen in Deutschland aus. Auch die Technik zur Videoüberwachung war einem Sprecher des Bundesinnenministeriums zufolge betroffen. Die Bahn war zunächst das einzige Unternehmen in Deutschland, von dem bekannt wurde, dass es betroffen war. Nach Angaben des Konzerns war der bundesweite Zugverkehr allerdings nicht beeinträchtigt.

In Großbritannien waren insgesamt 16 Krankenhäuser lahmgelegt, wie der staatliche Gesundheitsdienst NHS mitteilte. Menschen wurden gebeten, nur in dringenden Fällen in Notaufnahmen zu kommen, berichtete die britische Nachrichtenagentur PA. Die britische Patientenvereinigung kritisierte, der NHS habe aus früheren Cyber-Attacken nicht gelernt und nicht genug getan, um seine zentralisierten IT-Systeme zu schützen.

Erpressungstrojaner werden von IT-Sicherheitsexperten als immer größeres Problem gesehen. Klassische Antiviren-Software ist bei Erpressungs-Trojanern oft machtlos. Zugleich können die Angreifer mit dem Lösegeld, das viele Nutzer zahlen, weitere Attacken finanzieren. Meist werden Privatleute Opfer der Erpressungssoftware. Im vergangenen Jahr traf es zum Beispiel aber auch deutsche Gemeindeverwaltungen. Die Waffe der Angreifer war jetzt Experten zufolge die Schadsoftware „Wanna Decryptor“, auch bekannt als „Wanna Cry“.

Der Angriff zog weltweit Kreise. Beim russischen Innenministerium fielen rund 1000 Computer aus. Das entbehrt nicht einer gewissen Ironie, denn in westlichen IT-Sicherheitskreisen wurden hinter der Veröffentlichung der NSA-Daten Hacker mit Verbindungen zu russischen Geheimdiensten vermutet. Die Netze anderer russischer Behörden hätten dem Angriff aber standgehalten, hieß es. In Schweden waren 70 Computer der Gemeinde Timrå betroffen, in Portugal der Telekom-Konzern Portugal Telecom.