WannaCry - das Große Versagen

von Redaktion Wuermtal.Net

Microsoft nachlässig, Geheimdienste sorglos und Justiz träge

Am Freitag trat Panik an allen Orten auf - WannaCry schlug zu
Am Freitag trat Panik an allen Orten auf - WannaCry schlug zu

Am Freitag trat Panik an allen Orten auf: Chaos auf den Anzeigen der Bahn in Deutschland, zur Tatenlosigkeit verurteilte Krankenhäuser in England, vorsichtshalber geschlossene Fabriken von Renault in Frankreich, der gehackte Hersteller Toyota in England, gestörte Telekommunikationsnetze in Spanien und Portugal und infizierte Logistikriesen in den USA. In Russland waren die Rechner des Innenministerium, der Polizei und des Mobilfunkanbieters Megafon betroffen. In China ging an über 20.000 Tankstellen nichts mehr. Selbst Hersteller von Antiviren Software waren betroffen. Die Reihe befallener Systeme in über 150 Ländern lässt sich beliebig fortsetzen. Hacker hatten die Schadsoftware WannaCry von der Kette gelassen. Einem 22-jährigen IT-Fachmann aus England ist es zu verdanken, dass die Attacke vorerst gestoppt wurde. Die Schadsoftware war an eine nicht registrierte Domain gebunden. In dem er die benutzte Domain registrieren ließ und damit das Routing veränderte, stoppte der Engländer den Angriff.

Das große Rätselraten - wie konnte das passieren?

Die Ursache allen Übels liegt in den USA! FBI und NSA veranlassten die Programmierung der Schadsoftware und die NSA ließ sich das Programm dann auch noch stehlen. Die Hacker, die das Chaos am Freitag durch WannaCry verursachten, veränderten den Code lediglich und verteilten ihn per eMail. Wie ähnlich gestrickte Schadprogramme nütze der Kryptotrojaner WannaCry die befallen Rechner als Sprungbrett zur Infektion weiterer Rechner.

Befallen wurden vor allem Rechner mit den Betriebssystemen Windows XP und Windows Server 2003 der Firma Microsoft. Obwohl sich viele Unternehmen und User den ungeliebten Nachfolgern verweigerten, hatte Microsoft die Updates für diese Betriebssysteme seit langem eingestellt. Interessanterweise hat Microsoft schon einen Tag später Updates für die älteren Versionen von Windows aus dem Hut gezaubert. Offensichtlich war man sich bei Microsoft bewusst, dass noch viele entsprechende Systeme in Betrieb waren. Trotzdem wollte Microsoft Anwender und betroffene Firmen unbedingt auf neuere Betriebssysteme zwingen.

Schuld waren angeblich User und Firmen mit älteren System

Schuld waren nach Ansicht der meisten Experten die User und Firmen mit veralteten oder nicht mit Updates versorgten Systemen. Haben sich die Betroffenen selber den Code unter geschoben? Haben die User mit dem Code experimentiert und sich damit infiziert? Tatsächlich sind die Sicherheitslücken, über welche die Angriffe ausgeführt wurden, in der Software von Microsoft seit langem vorhanden. Diese Lücken waren dem FBI und der NSA bekannt. Auch Microsoft hätte für die älteren Programme seit mindestens einem Monat Bugfixes zur Verfügung stellen können. Für die neueren Programme, die die Sicherheitslücke ebenfalls hatten, hatte Microsoft seit einigen Wochen Abhilfe geschaffen.

Es ist leicht mit dem Finger auf Firmen und Organisationen in den USA zu zeigen. Wie schaut es mit der Sicherheit um "unserem" Bundestrojaner aus? Der steht neben der Kripo auch den Geheimdiensten zur Verfügung. Man denke nur an die unrühmliche Rolle des Verfassungsschutz und seiner V-Leute, die beim NSU-Prozess und in den verschiedenen Untersuchungsausschüssen zu den NSU-Morden ans Licht kam. In diesem Umfeld könnte das Knowhow um den Bundestrojaner leicht in falsche Hände geraten.

Der User soll seinen Rechner besser schützen

Das ist eine lustige Idee! Der ganze Bundestag wurde gehackt, Frau Merkels Handy wurde abgehört und auch das Pentagon wurde Opfer von Hackern. Diese Organisationen und auch die Kanzlerin haben Sicherheitsabteilungen und ganze Heerscharen von Berater zur Verfügung. Wie sollen Sie und ich dann schaffen was diese Fachleute nicht geregelt bekommen?

Strafverfolgung für Hacker? Lächerlich!

Trotz allen zur Verfügung stehenden Mitteln wird in aller Regel bei Hackerangriffen nichts unternommen - bei Betrug um Bagatellbeträge schon gar nicht. Doch bei zigtausenden von Fällen nehmen die Kriminellen über Kleinbeträge Millionen Euros ein. Damit sind sie in der Lage, sich bessere Ausrüstung zu beschaffen und noch bessere IT-Fachleute zu ködern. Diese Banden sind auch in der Lage, Geheimnisträger mit hohen Beträgen zu bestechen.

Der Autor dieses Artikels hat vor einigen Jahren selber einen Betrugsfall zur Anzeige gebracht. Auf der Website einer großen deutschen Zeitung war ihm beim lesen mit dem Smartphone ein Abonnement für eine Seite mit Spieltricks "untergejubelt" worden. Er hatte kein Abo abgeschlossen, waren nie auf der Seite mit den tollen Tricks und hatte keine Handynummer für die Abrechnung eingegeben. Trotzdem wurde das Abo über die Handyrechnung abgebucht. Seine Anzeige wurde zwar von der Polizei aufgenommen und weitergeleitet, der Einsatz der Staatsanwaltschaft war dagegen überschaubar: Das Verfahren wurde nach Rücksprache mit der Abrechnungsfirma eingestellt. Nicht einmal das benutzte Handy wurde überprüft. Aus der Chronik des Webbrowsers und den Logdateien wäre vieles erkennbar gewesen. Kleiner Tipp für alle: Lassen Sie bei Ihrem Handyprovider Service-Dienste von Drittanbeitern sperren. Dann passiert Ihnen nicht das Gleiche!

Die Bande, die dem Autor das Abo auf's Auge gedrückt hat, begann in den 90er Jahren mit Dialerbetrug (0190-Nummern). Damit haben die Ganoven soviel Geld verdient, dass sie später eine Bank im Osten der Republik kaufen konnten. Das Bankgeschäft haben sie abgestoßen, die Banklizenz hingegen haben sie behalten. Über diese Lizenz machen die Betrüger heute allerlei obskure Geschäfte - wie z.B. mit Internetseiten für Spieletricks!

Nach WannaCry folgt der übliche Aktionismus

Herr Dobrindt will schärfere Gesetze. Was soll das nutzen, wenn nicht einmal die aktuellen Gesetze zur Anwendung kommen? Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik, Arne Schönbohm, fordert Mobiltelefone, deren Sicherheitslücken nicht geschlossen werden, vom Markt nehmen zu lassen. Wer soll Software und Geräte prüfen? Handys waren von WannaCry übrigens gar nicht betroffen! Will Schönbohm dann auch alle Windows-Rechner verschrotten lassen? Schönbohm versteht sich als Torwart. Er will an Stelle von Fussbällen Hacker abwehren. Strafverfolgung hält er nicht für so wichtig, so seine Äußerungen im Interview am Ende dieses Artikels.

Sicher ist es mühsam diese Computer-Kriminellen zu verfolgen, aber wer das nicht tut, züchtet diese Banden geradezu heran!

Haftungsfragen

Es ist nur eine Frage der Zeit bis fehlerhafte Software auch Menschenleben kosten wird. Mit den zur Tatenlosigkeit verurteilten Krankenhäusern in England zeichnen sich solche Horrorzenarien bereits ab. Auch Atomkraftwerke waren bereits Ziele von Hackern. Die Automobilindustrie arbeitet an autonom fahrenden PKWs und LKWs. Wie werden sich Softwarefehler und mögliche Einbrüche von Hackern auf in Betrieb befindliche Fahrzeuge auswirken? Terroristen müssten LKWs gar nicht mehr rauben, sondern könnten diese hacken, um sie in eine Menschenmenge zu lenken! Es wird höchste Zeit, dass Softwareproduzenten für ihre Fehler haftbar gemacht werden. Gleiches gilt für Staaten, die sich Geheimdienste leisten, welche den Hackern schon fast zuarbeiten. Die USA haben gezeigt, dass man auch vor großen Konzernen wie VW nicht einknicken muss! Warum sollte man mit Microsoft, NSA und FBI anders verfahren?

Wie können wir uns schützen?

Wie die meisten Regierungen in Ost und West "durchschnüffelt" auch die Bundesrepulik Deutschland die Daten Ihrer Bürger. Angeblich geschieht das, um die Sicherheit der Bevölkerung zu gewährleisten. Zu diesem Zweck verlangen die USA, in Softwareerzeugnisse "Hintertüren" für das Ausspähen mittels staatlicher Behörden wie Polizei oder Geheimdienste einzubauen. Tatsächlich kann ein unkontrolliertes Verteilen dieses Wissens nicht verhindert werden. Diese Vorgehensweise wird wegen dem möglichen oder tatsächlichen Missbrauch durch Kriminelle aber zur Gefahr, anstatt Sicherheit zu gewährleisten.

WannaCry hat eindrucksvoll gezeigt, dass ein komplettes Umdenken bei Sicherheitsbehörden, Strafverfolgung und Justiz stattfinden muss. Die Strafverfolgung darf weder an den Grenzen von Deutschland noch an den Grenzen der EU enden.

Die Qualität von Softwareprodukten muss hinsichtlich der Sicherheit massiv verbessert werden. Kein Mensch würde ein Auto kaufen, dass alle paar Wochen zur Nachbesserung in die Werkstatt muss. Der monatliche Patchday von Microsoft wird dagegen klaglos hingenommen. Google stopfte im letzten Monat mit einem Patchpaket für Smartphones über 100 Sicherheitslücken. Auch bei Apple-Produkten treten immer wieder Sicherheitslücken auf. Ein Blick in die Meldungen von technischen Websites, wie z.B. der Seite des Heise Verlags, läßt Zweifel aufkommen, ob es in ferner Zukunft fehlerfreie Software-Produkte geben wird. Es wird höchste Zeit, dass neue Softwarestandards einziehen. Vermutlich wird das nur gelingen, wenn Hersteller von mangelhafter Software vermehrt die Haftung für ihre Produkten übernehmen müssen.

Arne Schönbohm zum Cyberangriff anlässlich des Deutschen IT-Sicherheitskongress

Zurück