Der Erpressungstrojaner „WannaCry“: Ein Netz von Unsicherheiten

Es gibt eine Haltung in Sachen IT, auf die sich vom Apple-Nutzer bis zur Mitarbeiterin mancher Technik-Abteilung so ziemlich alle einigen können: Never change a running system. Fass bloß nichts an, was gerade funktioniert, die Chance, dass etwas kaputtgespielt wird, nicht mehr läuft oder haufenweise Anwender anrufen, die sich beschweren, dass der gewohnte Button nicht mehr an der gewohnten Stelle ist, ist riesig.

Never change a running system ist total praktisch. Nicht nur, weil man sich nicht damit aus­ein­an­dersetzen muss, ein System neu aufzusetzen, denn es funktioniert ja alles. Man kann das sogar guten Gewissens tun.

Bis – na ja.

Was am Wochenende passiert ist, war kein GAU. Nicht einmal annähernd. Okay, der ein oder andere Parkhaus-Automat funktionierte nicht, bei Renault hatten 3.500 Mitarbeiter am Montag frei, in China war an zahlreichen Tankstellen nur noch Barzahlung möglich. Und bei der Deutschen Bahn haben sie ein paar Tafeln rausgekramt, um die Fahrtziele draufzuschreiben. Mit Kreide. Süß.

Die Regierungen und Geheimdienste

Für Patienten in Großbritannien war es wahrscheinlich nicht so süß, im Krankenhaus keine Behandlung zu bekommen, weil System kaputt. Aber es gab – soweit bekannt – kein Atomkraftwerk, bei dem die Kühlung ausgefallen ist, kein Tower, dessen Kommunikationsfähigkeit eingeschränkt wurde, und auch keinen Börsencrash, weil irgendwelche Bots auf einmal nicht mehr an dringend benötigte Daten kamen und deshalb freidrehten. Es war, sozusagen, ein Warnschuss. Mit etwas Pech der letzte.

Die Sofort-Maßnahme: Systeme aktuell halten. Das scheint für einige schon schwer genug zu sein. Aber das reicht nicht. Denn es gibt in der ganzen Sache noch ein zweites Problem und das sind Regierungen und Geheimdienste.

In diesem Fall hatte sich die NSA das Wissen über eine Sicherheitslücke der nun von dem Angriff betroffenen Microsoft-Systeme organisiert. Sicherheitslücken, die der Hersteller der Software noch nicht kennt und die noch nicht veröffentlicht wurden, sogenannte Zero-Day-Exploits, sind ungemein attraktiv für Angriffe. Auf dem Schwarzmarkt werden dafür Preise im bis zu siebenstelligen Bereich gezahlt. Auch staatliche Organisationen sind über Umwege gerne dabei. So tragen sie dazu bei, das Sicherheitsniveau zu senken – und machen Unternehmen und Infrastruktur auch im eigenen Land angreifbar.

Ein Glück daher, dass Hacker die Lücke veröffentlichten – das machte es immerhin möglich, sie zu schließen. Eine kürzlich veröffentlichte Studie ergab: Im Schnitt sieben Jahre liegen zwischen dem Entdecken eines Zero-Day-Exploits und dem Schließen. Genug Zeit nicht nur für Geheimdienste, sondern auch für diverse andere Akteure, sich mal in einem System umzuschauen. Vielleicht gibt es dabei ja was zu holen? Persönliche Daten, politisch Brisantes, Geld?

Aber alle Interessenten an Zero-Day-Exploits hätten es deutlich schwerer, wären Softwarehersteller dafür bekannt, ihre Produkte stets superausgereift auf den Markt zu bringen. Beliebt ist eher das Bananenprinzip. Grün ausgeliefert, reift beim Kunden. In der Zwischenzeit mit Vorsicht zu genießen.

Was nun dazukommt und das Problem in alle Richtungen verstärkt, ist die aktuelle Debatte über digitale Kriegsführung. Auch die Bundeswehr soll dazu fähig sein, in Computer irgendwo auf der Welt einzudringen. Das Ausnutzen von Sicherheitslücken ist da quasi Teil des Systems. Doch den Fokus auf die Attacke zu legen statt darauf, Systeme so gut wie irgend möglich dicht zu kriegen, ist nichts weiter, als ein Netz von Unsicherheit aufzubauen. Und damit Sicherheit zu versprechen.