Image: Weckruf der HackerFERCHAUFERCHAU©adventtr
TechnikOperation am offenen IT-Herzen

Weckruf der Hacker

Lesezeit ca.: 5 Minuten
Rüdiger Vossberg

Rüdiger Voßberg

freier Journalist

„WannaCry“ war nur der Anfang – davon sind IT-Sicherheits­ex­perten überzeugt. Die sorgfältig geplante Veröffent­li­chung von Sicherheits­lü­cken durch unpartei­ische Stellen könnte eine Maßnahme im Kampf gegen den virulenten Schadcode und ihre Verteiler sein.

03. November 2017

Der Cyberangriff mit der Ransomware „WannaCry“ im Mai 2017 hatte schätzungs­weise 230.000 Computer in 150 Ländern infiziert. Europol wertet das Ausmaß dieser Attacke „als noch nie da gewesenes Ereignis“. Selbst Microsoft, dessen Betriebs­system die Sicherheits­lü­cken aufwies, die den Globalan­griff erst ermöglichten, schlägt Alarm: „Die Regierungen der Welt sollten diesen Angriff als Weckruf begreifen“, schreibt Bradford Smith, Präsident und Chefjusti­ziar der Software­schmiede, in seinem Firmenblog.

Hacker der Welt

Professor Kai Rannenberg, Sprecher des Beirats der International Federation for Information Processing (IFIP) in der Gesellschaft für Informatik e.V. (GI) und Deutsche Telekom-Stiftungs­pro­fessor für 'Mobile Business and Multilateral Security' an der Goethe-Universität Frankfurt, warnt, dass WannaCry nur der erste einer Reihe von Cyber-Angriffen ist, die in den kommenden Monaten gestartet werden. Weiterhin werden wohl viele Tränen fließen, prophezeit der Wissenschaftler im Interview.

Herr Professor Rannenberg, ist der von WannaCry ausgehnde Weckruf schon ausreichend erhört worden?

Ob er in dem Maße erhört wurde, dass wirklich Konsequenzen gezogen werden, erkennt man leider immer erst später. Zumindest ist der Weckruf in den Medien angekommen.

Andersherum gefragt: Wer ist „taub“ für solche offensicht­li­chen Warnungen?

Jene, die die Informations- und Kommunika­ti­ons­tech­no­logie (IKT) nur zur Kostener­sparnis oder Gewinnstei­ge­rung nutzen, ohne die Kosten für eine adäquate Sicherung zu berücksich­tigen. Im Zeitalter des Internets der Dinge, in dem zum Beispiel Geräte vielfach ohne geordnetes Software- und Patchmanage­ment mit dem Internet verbunden werden, steigen derartige Risiken exponentiell an.

Die ungeplante Veröffent­li­chung

Welche Branchen und Unternehmen trifft es besonders hart?

Besonders betroffen sind beispiels­weise die öffentliche Hand, kleine Mittelständler, kleine regionale Energiever­sorger und andere Betreiber kritischer Infrastruk­turen. Sie können mangels Personal oftmals die heute geforderten Dimensionen der Digitali­sie­rung und deren Sicherung nicht abbilden. In diesen Fällen ist die IT-Abteilung vielleicht mit drei Personen besetzt, die „IT-Sicherheits­ab­tei­lung“ bringt es dementspre­chend auf eine „Manpower“ von vielleicht 0,3 Personen. Diesen Organisa­tionen fehlt somit oft schon die Kapazität, um die Minimalan­for­de­rungen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informati­ons­technik zu erfüllen, von weiterge­henden Anforderungen ganz zu schweigen.

Warum hatte WannaCry einen so durchschla­genden Erfolg?

Die Ursache ist auf veraltete Betriebs­sys­teme zurückzu­führen. Den größten Schaden haben beispiels­weise Teile des britischen Gesundheits­sys­tems NHS erlitten, die in manchen, meistmedi­zi­ni­schen Geräten immer noch Windows XP verwendeten. Der Grund ist, dass diese Geräte nicht einfach so mit einer modernen Software bespielt werden können. Sie müssten komplett ausgetauscht werden, was mit hohen Kosten verbunden ist.  Darüber hinaus sind auch Organisa­tionen in Ländern, in denen Raubkopien weit verbreitet sind, stark betroffen, da diese natürlich keine regelmäßigen Updates erhalten.

Die Angriffe waren also auf ältere Versionen des Windows-Betriebs­sys­tems gerichtet, die nicht mehr von Microsoft unterstützt werden. Welche Lehren lassen sich daraus für eine sicherere IT-Zukunft ziehen?

Dieser Fall zeigt, dass mit bekannten Sicherheits­lü­cken und ihren Bedrohungs­sze­na­rien anders umgegangen werden muss. Es kann doch nicht sein, dass eine Einrichtung wie die amerikani­sche National Security Agency solche Exploits hortet, um sie selbst irgendwann zu verwenden. Peinlich obendrein, wenn sie sich diese Exploits dann auch noch stehlen lässt!

Die geplante Veröffent­li­chung

Deshalb fordern Sie die verantwor­tungs­volle Veröffent­li­chung von Sicherheits­lü­cken durch unabhängige Einrichtungen?

Ja! Denn dem Interesse von Sicherheits­be­hörden zur Überwachung verdächtiger IKT-Systeme steht der Schutz von Bevölkerung und Unternehmen vor Cyber-Attacken gegenüber. Behörden sollten deshalb vorhandene Sicherheits­lü­cken den Herstellern melden und  – im Falle einer Untätigkeit dort – auch an die Öffentlich­keit gehen. So wären diese Cyberatta­cken zu verhindern gewesen.

Welche Behörde sollte in Deutschland diese Aufgabe übernehmen? Das BSI?

Da sitzen viele kompetente Fachleute, keine Frage. Aber letztend­lich unterstehen sie den Weisungen des Bundesin­nen­mi­nis­te­riums und sind deshalb eben nicht unabhängig genug für diese delikate Aufgabe! Wichtig ist, dass eine entsprechende Einrichtung dem Parlament gegenüber verantwort­lich ist – und nicht gegenüber einem einzelnen Ministerium. Wir brauchen eine unabhängige Institution, ähnlich der der Datenschutz­be­auf­tragten, damit Sicherheits­lü­cken verantwor­tungs­voll veröffent­licht werden können.

Die voreilige Veröffent­li­chung

Der amerikani­sche Pharmakon­zern Abbott hatte vor einigen Wochen weltweit mehrere Hunderttau­send Patienten mit einem Herzschritt­ma­cher dazu aufgerufen, sich im Krankenhaus ein Software-Update aufspielen zu lassen. Ist dieser öffentliche Aufruf  Ihrer Meinung nach eine vorbildliche Veröffent­li­chung einer  Sicherheits­lücke?

Ja. Und zwar deshalb, weil es in diesem konkreten Fall so viele Betroffene gibt, die kaum oder gar nicht direkt erreichbar sind. Der technische Aufwand für eine Hack-Attacke mag hier zwar sehr groß und die Wahrschein­lich­keit, davon betroffen zu sein, somit nur gering sein. Aber wer kann das individu­elle Gefährdungs­po­ten­zial des einzelnen Menschen beurteilen, der möglicher­weise politisch oder ethnisch bedingt gefährdet ist oder  aus einem sonstigen Grund Angriffe in der Öffentlich­keit fürchten muss?

Ab welchem Gefährdungs­po­ten­zial sollte denn generell eine Warnung ausgespro­chen werden? 

Das ist eine heikle Frage, bei der es gilt, besonnen Abzuwägen: Startet man eine Rückrufak­tion, auch wenn  man selbst noch gar keine Lösung für das Problem parat hat? Das könnte das Risiko eines Hacks noch erhöhen, denn die Warnung könnte auch als Einladung an potenzielle Angreifer wirken, sich auf diese Lücke zu stürzen. Entsprechend lautet das klassisches Argument der Hersteller: keine Warnung ohne passendes Gegenmittel. Manchmal ist es also besser, seinen Rechner gar nicht erst einzuschalten oder vorher vom Netz zu nehmen, wenn man weiß oder befürchtet, dass dieser potenziell oder akut gefährdet ist.