Verletzliches Internet – Was das "Wanna Cry"-Desaster für moderne Infrastrukturen bedeutet

 Verletzliches Internet – Was das "Wanna Cry"-Desaster für moderne Infrastrukturen bedeutet
Bislang sind ältere Windows-Systeme vom Wanna Cry-Virus betroffen. Doch das nächste Virus könnte schon in der Entwicklung sein.
Es ist der bislang folgenschwerste Hacker-Angriff der Geschichte. Die Verbreitung des "Wanna Cry"-Virus offenbart die Verletzlichkeit moderner Infrastrukturen. Nachdem die Verbreitung der Schadsoftware am Samstag vorübergehend gestoppt wurde, verbreitet sich der Ransomeware-Trojaner erneut aus.

von Florian Hauschild

Es klingt wie ein Cyber-Krimi. Erste Meldungen über den Ransomeware-Trojaner Wana Decrypt0r (kurz: Wanna Cry) erschienen am vergangenen Freitag. Mindestens 16 Krankenhäuser in Großbritannien mussten ihre Patienten nach Hause schicken, da der Betreiber der Einrichtungen, NHS, wichtige Sicherheitsupdates auf den Windows-Systemen versäumt hatte.

Simon Lange, Ex-Hacker und IT-Experte.

Noch zuvor breitete sich das Virus in Russland aus und infizierte dort später rund 1.000 Rechner des russischen Innenministeriums. Später meldeten der spanische Telekom-Riese Telefónica sowie die Deutsche Bahn Infektionen. Auch in Berlin waren am Sonntag einige Fahrkartenautomaten der Deutschen Bahn außer Betrieb.

Auch die Deutsche Bahn ist betroffen

Außerdem meldete das Unternehmen Funktionsstörungen der digitalen Anzeigetafeln. Systeme, die für den Schienenverkehr nötig sind, waren bislang nicht betroffen. Am Samstag gab es dann eine kurzfristige Entwarnung, nachdem mindestens hunderttausend Rechner in 150 Ländern infiziert worden sind.

Ein 22-jähriger IT-Forscher fand eine Web-Adresse in einer Codezeile, die allerdings nicht eingetragen war. Der Forscher registrierte die Domain und stellte damit auch zu seiner eigenen Überraschung fest, womöglich eine Art Kill Switch, eine digitale Notbremse, gefunden zu haben. Die Verbreitung des Virus wurde temporär gestoppt. Doch die Freude über das vergleichsweise glimpfliche Ende der Attacke währte nur kurz.

Noch am Montagmorgen meldete Europol-Chef Rob Wainwright:

Wir haben eine Verlangsamung der Infektionsraten Freitagnacht gesehen, die nun aber durch eine zweite Variante überholt wurde, die die Kriminellen veröffentlichten.

Zu dem Update des Virus, das sich zum Wochenbeginn nun erneut verbreitet, gesellt sich ein weiteres Problem: In Büros und Behörden waren viele Rechner über das Wochenende ausgeschaltet und aktivieren die Infektion erst mit deren Einschaltung am Montag.

Dabei ist Zerstörung und das Lahmlegen technischer Infrastruktur offenbar weniger Ziel der Attacke als vielmehr Mittel zum Zweck. Computer, die mit Wanna Cry infiziert wurden, zeigen statt der gewohnten Desktop-Umgebung ein Warnfenster mit dem Hinweis, dass das System blockiert ist.

Screenshot eines Wanna Cry-infizierten Rechners.

Zur Freischaltung wird dann neben roten Warnsymbolen die Überweisung von Bitcoin an eine Adresse der Erpresser gefordert. Andernfalls, so die Drohung, werden die Daten auf der Festplatte zerstört. Die digitale Wegelagerei funktionierte bislang jedoch eher mäßig. Gerade einmal rund 30.000 Euro haben die Verantwortlichen des "Wanna Cry"-Virus nach der ersten Verbreitungswelle eingenommen.

Die Kehrseite der maßlosen Vernetzung

Die Schäden sind vor allem für die Patienten britischer Kliniken zwar tragisch, im globalen Maßstab bisher aber noch relativ überschaubar. Viel bedeutender ist: Die Attacke zeigt, wie verletzlich das immer engmaschiger werdende Netz der digitalen Vernetzung ist. Längst hat sich ein großer Teil der Menschheit daran gewöhnt, den Alltag mit Hilfe von Smartphone und Laptop zu meistern. Egal ob Krankenhäuser, Warenlogistik, Militär oder Verkehr, all diese Systeme hängen heute am Internet – und damit von diesem ab.

Schon lange warnen Kritiker der maßlosen Vernetzungsmanie vor den negativen Folgen im Falle einer technischen Störung oder einer gezielten Attacke auf das Netz. Wanna Cry zeigt, dass all das keine apokalyptischen Fantasien von Untergangspropheten sind, sondern vielmehr die natürliche Kehrseite der Digitalisierung des Alltags.

So fordert auch Brad Smith, leitender Anwalt des Windows-Herstellers Microsoft, die Regierungen der Welt auf, den Angriff als „Weckruf“ zu verstehen und lenkt damit geschickt von der Mitverantwortung des Konzerns ab. Betroffen von Wanna Cry sind Rechner mit alten Windows-Versionen, die bereits vor Wochen veröffentlichte Sicherheitsupdates nicht installiert haben. Immer wieder steht daher auch der Software-Riese in der Kritik, Sicherheitslücken nur behäbig zu schließen.

Symbolbild: Frau mit Bildschirm auf The Cable Show in Boston, Mai 2012.

Doch Smith hält sich nicht zurück und macht, wie zuvor schon Edward Snowden, den US-amerikanischen Spionagedienst NSA für die Infektionswelle verantwortlich. Dieser habe weitere Sicherheitslücken regelrecht „gehortet“ und in seinem Arsenal von Cyberwaffen geführt. Erst ein Leak im März 2017 machte Microsoft selbst – aber auch die Verantwortlichen des "Wanna Cry"-Virus - auf die digitale Hintertür aufmerksam. Smith forderte von den Regierungen und Geheimdiensten, Sicherheitslücken künftig sofort zu melden, anstatt sie für eigene Zwecke zurückzuhalten. Ein Pendant des Exploits der Lücke wäre in der analogen Welt vergleichbar mit dem Diebstahl einiger Tomahawk-Marschflugkörper aus dem Arsenal der US-Armee, so Smith.

Der IT-Spezialist und Blogger Felix von Leitner kommentiert hingegen eher kritisch:

Ganz langsam, Microsoft.

Wer ist Schuld, dass es diese Lücke gibt? Ihr. Microsoft.

Wer ist Schuld, dass die Lücke jahrelang in der Codebasis verblieb? Ihr. Microsoft.

Die NSA hat die Lücke gefunden und nicht gemeldet. Ja. Sie haben sie absichtlich offen gelassen. Aber da könnt ihr nicht drauf zeigen, um die Schuld loszuwerden. Der Gaffer ist nicht am Auffahrunfall auf der Autobahn Schuld.

Überdies heißt es auf Fefes Blog:

Der Killswitch ist kein Killswitch, sondern eine primitive Anti-Debug-Maßnahme. In der Sandbox werden üblicherweise alle externen Kommunikationen umgelenkt. Er testet also nur auf das Vorhandensein einer Analyse-Sandbox.

Schuldzuweisungen allein reichen nicht

So oder so, die Debatte um das Virus wird bislang vor allem von gegenseitigen Schuldzuweisungen dominiert. Ähnlich wie bei anderen gesellschaftlichen Problemen führt ein solcher Diskurs jedoch nur in seltenen Fällen zu praktikablen Lösungen. Wie diese aussehen können, ist ohnehin mehr als fraglich.

Zwar können auch die aktualisierten Varianten von Wanna Cry womöglich gestoppt werden, bzw. können Software-Updates der Windows-Systeme helfen, die Verbreitung einzudämmen, doch die generelle Vulnerabilität der hochkomplexen IT-Systeme bleibt damit bestehen. Letztendlich sind die entscheidenden Fragen, die sich aus dem "Wanna Cry"-Debakel ergeben müssen damit auch philosophischer Natur:

Das letzte Hemd hat keine Taschen. Für Hartz IV-Empfänger wird es im Krisenfall eng.

Ist eine schrankenlose Digitalisierung und Vernetzung des Lebens sinnvoll, wenn dafür keine Sicherheitssysteme existieren, die im Falle einer groß angelegten Attacke anspringen können? Jede sensible Einrichtung, in der es um Leben und Tod geht, verfügt normalerweise über Notfall-Kreisläufe, doch im Internet tanzen die Daten auf einem immer höheren Drahtseil zwar mit Netz, aber ohne doppelten Boden. Spätestens wenn auch die IT der komplexen Logistik von Lebensmitteln einer Attacke ausgesetzt ist, wird dies für viele Menschen spürbar im Alltag bewusst. Tragischerweise wohl aber auch erst dann.

Der bislang vergleichsweise geringfügige Schaden, den das "Wanna Cry"-Virus nach drei Tagen angerichtet hat, könnte einen weit größeren Nutzen nach sich ziehen, wenn solche Debatten künftig geführt werden. Microsoft-Anwalt Smith hat damit ganz recht, wenn er fordert, die Attacke als „Weckruf“ zu verstehen. Es fragt sich jedoch, wie tief der Schlaf indes noch ist und ob der Ruf gehört werden wird.