IT-Herz©adventtr
TechnikOperation am offenen IT-Herzen

Weckruf der Hacker

Lesezeit ca.: 5 Minuten
Rüdiger Vossberg

Rüdiger Voßberg

freier Journalist

„WannaCry“ war nur der Anfang – davon sind IT-Sicherheitsexperten überzeugt. Die sorgfältig geplante Veröffentlichung von Sicherheitslücken durch unparteiische Stellen könnte eine Maßnahme im Kampf gegen den virulenten Schadcode und ihre Verteiler sein.

03. November 2017

Der Cyberangriff mit der Ransomware „WannaCry“ im Mai 2017 hatte schätzungsweise 230.000 Computer in 150 Ländern infiziert. Europol wertet das Ausmaß dieser Attacke „als noch nie da gewesenes Ereignis“. Selbst Microsoft, dessen Betriebssystem die Sicherheitslücken aufwies, die den Globalangriff erst ermöglichten, schlägt Alarm: „Die Regierungen der Welt sollten diesen Angriff als Weckruf begreifen“, schreibt Bradford Smith, Präsident und Chefjustiziar der Softwareschmiede, in seinem Firmenblog.

Hacker der Welt

Professor Kai Rannenberg, Sprecher des Beirats der International Federation for Information Processing (IFIP) in der Gesellschaft für Informatik e.V. (GI) und Deutsche Telekom-Stiftungsprofessor für 'Mobile Business and Multilateral Security' an der Goethe-Universität Frankfurt, warnt, dass WannaCry nur der erste einer Reihe von Cyber-Angriffen ist, die in den kommenden Monaten gestartet werden. Weiterhin werden wohl viele Tränen fließen, prophezeit der Wissenschaftler im Interview.

Herr Professor Rannenberg, ist der von WannaCry ausgehnde Weckruf schon ausreichend erhört worden?

Ob er in dem Maße erhört wurde, dass wirklich Konsequenzen gezogen werden, erkennt man leider immer erst später. Zumindest ist der Weckruf in den Medien angekommen.

Andersherum gefragt: Wer ist „taub“ für solche offensichtlichen Warnungen?

Jene, die die Informations- und Kommunikationstechnologie (IKT) nur zur Kostenersparnis oder Gewinnsteigerung nutzen, ohne die Kosten für eine adäquate Sicherung zu berücksichtigen. Im Zeitalter des Internets der Dinge, in dem zum Beispiel Geräte vielfach ohne geordnetes Software- und Patchmanagement mit dem Internet verbunden werden, steigen derartige Risiken exponentiell an.

Die ungeplante Veröffentlichung

Welche Branchen und Unternehmen trifft es besonders hart?

Besonders betroffen sind beispielsweise die öffentliche Hand, kleine Mittelständler, kleine regionale Energieversorger und andere Betreiber kritischer Infrastrukturen. Sie können mangels Personal oftmals die heute geforderten Dimensionen der Digitalisierung und deren Sicherung nicht abbilden. In diesen Fällen ist die IT-Abteilung vielleicht mit drei Personen besetzt, die „IT-Sicherheitsabteilung“ bringt es dementsprechend auf eine „Manpower“ von vielleicht 0,3 Personen. Diesen Organisationen fehlt somit oft schon die Kapazität, um die Minimalanforderungen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik zu erfüllen, von weitergehenden Anforderungen ganz zu schweigen.

Warum hatte WannaCry einen so durchschlagenden Erfolg?

Die Ursache ist auf veraltete Betriebssysteme zurückzuführen. Den größten Schaden haben beispielsweise Teile des britischen Gesundheitssystems NHS erlitten, die in manchen, meistmedizinischen Geräten immer noch Windows XP verwendeten. Der Grund ist, dass diese Geräte nicht einfach so mit einer modernen Software bespielt werden können. Sie müssten komplett ausgetauscht werden, was mit hohen Kosten verbunden ist.  Darüber hinaus sind auch Organisationen in Ländern, in denen Raubkopien weit verbreitet sind, stark betroffen, da diese natürlich keine regelmäßigen Updates erhalten.

Die Angriffe waren also auf ältere Versionen des Windows-Betriebssystems gerichtet, die nicht mehr von Microsoft unterstützt werden. Welche Lehren lassen sich daraus für eine sicherere IT-Zukunft ziehen?

Dieser Fall zeigt, dass mit bekannten Sicherheitslücken und ihren Bedrohungsszenarien anders umgegangen werden muss. Es kann doch nicht sein, dass eine Einrichtung wie die amerikanische National Security Agency solche Exploits hortet, um sie selbst irgendwann zu verwenden. Peinlich obendrein, wenn sie sich diese Exploits dann auch noch stehlen lässt!

Die geplante Veröffentlichung

Deshalb fordern Sie die verantwortungsvolle Veröffentlichung von Sicherheitslücken durch unabhängige Einrichtungen?

Ja! Denn dem Interesse von Sicherheitsbehörden zur Überwachung verdächtiger IKT-Systeme steht der Schutz von Bevölkerung und Unternehmen vor Cyber-Attacken gegenüber. Behörden sollten deshalb vorhandene Sicherheitslücken den Herstellern melden und  – im Falle einer Untätigkeit dort – auch an die Öffentlichkeit gehen. So wären diese Cyberattacken zu verhindern gewesen.

Welche Behörde sollte in Deutschland diese Aufgabe übernehmen? Das BSI?

Da sitzen viele kompetente Fachleute, keine Frage. Aber letztendlich unterstehen sie den Weisungen des Bundesinnenministeriums und sind deshalb eben nicht unabhängig genug für diese delikate Aufgabe! Wichtig ist, dass eine entsprechende Einrichtung dem Parlament gegenüber verantwortlich ist – und nicht gegenüber einem einzelnen Ministerium. Wir brauchen eine unabhängige Institution, ähnlich der der Datenschutzbeauftragten, damit Sicherheitslücken verantwortungsvoll veröffentlicht werden können.

Die voreilige Veröffentlichung

Der amerikanische Pharmakonzern Abbott hatte vor einigen Wochen weltweit mehrere Hunderttausend Patienten mit einem Herzschrittmacher dazu aufgerufen, sich im Krankenhaus ein Software-Update aufspielen zu lassen. Ist dieser öffentliche Aufruf  Ihrer Meinung nach eine vorbildliche Veröffentlichung einer  Sicherheitslücke?

Ja. Und zwar deshalb, weil es in diesem konkreten Fall so viele Betroffene gibt, die kaum oder gar nicht direkt erreichbar sind. Der technische Aufwand für eine Hack-Attacke mag hier zwar sehr groß und die Wahrscheinlichkeit, davon betroffen zu sein, somit nur gering sein. Aber wer kann das individuelle Gefährdungspotenzial des einzelnen Menschen beurteilen, der möglicherweise politisch oder ethnisch bedingt gefährdet ist oder  aus einem sonstigen Grund Angriffe in der Öffentlichkeit fürchten muss?

Ab welchem Gefährdungspotenzial sollte denn generell eine Warnung ausgesprochen werden? 

Das ist eine heikle Frage, bei der es gilt, besonnen Abzuwägen: Startet man eine Rückrufaktion, auch wenn  man selbst noch gar keine Lösung für das Problem parat hat? Das könnte das Risiko eines Hacks noch erhöhen, denn die Warnung könnte auch als Einladung an potenzielle Angreifer wirken, sich auf diese Lücke zu stürzen. Entsprechend lautet das klassisches Argument der Hersteller: keine Warnung ohne passendes Gegenmittel. Manchmal ist es also besser, seinen Rechner gar nicht erst einzuschalten oder vorher vom Netz zu nehmen, wenn man weiß oder befürchtet, dass dieser potenziell oder akut gefährdet ist.