Editorial: In der Tat zum Heulen!
Editorial zu weltweiter Cyber-Attacke
Foto: dpa
Seit Freitag hat der Erpressungstrojaner Wcrypt bzw. WCRY,
umgangssprachlich "WannaCry" ("will heulen") weltweit über
100 000 Computer infiziert und deren Festplatte verschlüsselt.
Die Nutzer müssen daraufhin ihr System neu aufsetzen und die Daten
von einem Backup neu einspielen, oder alternativ das von WannaCry
verlangte Lösegeld von in der Regel wohl 300 US-Dollar überweisen,
allerdings nicht per Kreditkarte, sondern per Transaktion in der
Cyber-Währung
Bitcoin. Betroffen von dem Angriff waren
unter anderem mehrere Krankenhäuser in Großbritannien, die
Logistikunternehmen FedEx und Schenker und das Telekommunikationsunternehmen
Telefónica in Spanien.
WannaCry wurde mit Hilfe eines von der NSA entwendeten Schadsoftware-Toolkits names Eternal Blue programmiert. Gegen die in Eternal Blue enthaltenen Exploits hatte Microsoft zwar schon am 14. März Sicherheits-Updates veröffentlicht, aber nicht für Windows XP, für das es seit drei Jahren keine offiziellen Patches mehr gibt. Nun ja, letzteres galt bis gestern: Microsoft sah sich angesichts von WannaCry genötigt, doch noch ein Sicherheitsupdate für Windows XP und Windows 2003 Server herauszubringen.
WannaCry konnte deswegen so viele Systeme infizieren, weil es gleich zwei Verbreitungswege kombinierte: Zum einen wurden massenhaft Spam-E-Mails mit verseuchten Dateianhängen verschickt. Hatte ein Nutzer darauf geklickt, verbreitete sich WannaCry auch ohne Nutzerzutun über eine Sicherheitslücke im SMB-Protokoll für lokale Dateifreigaben weiter. Inzwischen ist die Angriffswelle wohl stark reduziert, weil ein Sicherheitsexperte eine Schwachstelle im Code von WannaCry fand, die wie ein Stopp-Schalter wirkte: Dieses versucht, weitere Anweisungen von einer bestimmten Domain nachzuladen, die nicht registriert war. Indem er diese Domain auf sich registrierte, und dort aber falsche Antworten gibt, kann er den Wurm entsprechend blockieren - zumindest in dem Fall, dass das infizierte System überhaupt eine Internetverbindung hat, über die die genannte Domain erreichbar ist. Ist diese hingegen nicht erreichbar, macht WannaCry ungestört weiter.
Abhängigkeit von uralter Software
Editorial zu weltweiter Cyber-Attacke
Foto: dpa
WannaCry zeigt wieder einmal auf, wie verletzlich die weltweite
IT-Infrastruktur ist. Weit über 99 Prozent aller Computer und Smartphones
laufen letztendlich auf einem von gerade einmal drei Basissystemen:
Microsoft Windows, Linux (inklusive Google Android) und BSD-Unix
(inklusive Apple iOS und Apple macOS). Sicherheitslücken in
zentralen Betriebssystem-Diensten - wie hier das SMB-Protokoll für
die lokale Dateiabfrage - wirken sich dadurch entsprechend verheerend
aus.
Schlimmer noch ist meines Erachtens, dass Sicherheitsbehörden weltweit, allen voran die NSA ("National Security Agency") nun mitnichten daran forschen, wie solche Sicherheitslücken von vornherein zu verhindern wären, oder zumindest darauf hinwirken, dass sie nach dem Bekanntwerden schnellstmöglich geschlossen werden. Nein, stattdessen werden solche Sicherheitslücken von der NSA und anderen Geheimdiensten gehortet, um sie für eigene Zwecke zu missbrauchen, insbesondere für Cyber-Angriff gegen reale oder vermeintliche Gegner. Wie für alle Waffen gilt, dass sie leider verheerend wirken können, wenn sie in die falschen Hände fallen. Da sich Cyberwaffen zudem besonders einfach klauen und dann auch noch beliebig oft kopieren lassen, sind die Gefahren des Missbrauchs hier besonders groß. Wannacry war zum Glück wohl in Teilen dilettantisch programmiert (siehe den eingebauten Stopp-Schalter) und es kam zu spät, zwei Monate nach dem relevanten Patch. Andernfalls wären die Auswirkungen noch schlimmer gewesen! Es wird daher Zeit, dass die Sicherheitsbehörden sich wieder um die Hacking-Abwehr kümmern, statt selber zu immer besseren Hackern zu werden!