War WannaCry nur eine simple Erpressung? Was sind Cyberangriffe dieses Ausmaßes eigentlich? Reden wir über Massenvernichtungswaffen moderner Bauart? Brauchen wir einen Cyberwaffensperrvertrag? Darüber sollten und müssen wir als Gesellschaft und Weltgemeinschaft reden! Ein Kommentar von Oliver Keizers, Regional Director DACH bei Fidelis Cybersecurity.
Vor kurzem machte der Ransomware-Angriff „WannaCry“ weltweit Schlagzeilen, als an einem Freitag plötzlich unzählige Systeme bei Firmen und Privathaushalten ausfielen. „WannaCry“ beruht auf einer Schwachstelle, Exploit genannt, für Windows-Systeme, den der US-Geheimdienst NSA gefunden, technisch umgesetzt und nicht an Microsoft gemeldet hat – um ihn selbst als Angriffsvehikel zu nutzen. Diese Angriffsvehikel werden unter den Namen „EternalBlue“ und „DoublePulsar“ geführt und sind aus den „The Shadow Brokers“ Leaks bekannt und wurden bereits erfolgreich im April dieses Jahres eingesetzt. In der bisherigen Berichterstattung zu dem Thema fehlt jedoch eine wichtige Dimension.
Einige wichtige Punkte, die bisher noch wenig Aufmerksamkeit erfahren haben:
„Es gibt zu dieser Geschichte zwei Ebenen: die politische und die technische. Auf technischer Seite wird zwar viel über die Schwachstelle berichtet, auf der der Angriff beruht, und über den Notfallschalter, der den Angriff stoppen konnte. Aber was der Angriff eigentlich gezeigt hat, ist, dass Ransomware vor allem eines ist: lästig wie eine Mücke im Sommer. Spricht man mit betroffenen Unternehmen, so gab es wenige, die das vergleichsweise ungewöhnlich geringe Lösegeld zahlten und deutlich mehr, die einfach ein Backup zurücksicherten – der schwierigste Faktor dabei war der ungünstige Zeitpunkt Freitagnachmittag, wenn der IT-Support nicht immer ideal zu erreichen ist. Viele Unternehmen waren auch gar nicht betroffen, da sie schon heute IT-Sicherheitssysteme einsetzen, die den Angriff erkannten und verhinderten.
Was wäre aber gewesen, wenn es den Angreifern gar nicht um das Lösegeld gegangen wäre – sondern um den Diebstahl von wichtigen Daten oder die Zerstörung der Wasser- oder Energieversorgung eines Landes? Hierfür muss man unterscheiden zwischen dem Angriffsvehikel und der darin enthaltenen Waffe. Vergleichbar einem Marschflugkörper, der mit atomaren oder konventionellen Sprengköpfen ausgestattet werden kann, so brachte die Ausnutzung des Exploit über EternalBlue und der Backdoor DoublePulsar diesmal nur lästige Ransomware mit sich. Es hätte aber auch anderer Schadcode sein können.
So hätten die Kriminellen hinter WannaCry wichtige Pläne oder andere Daten stehlen können, während man selbst noch mit dem Wiederaufsetzen des betroffenen Rechners beschäftigt war. Was, wenn der Angriff eben nicht nur „lästig“, sondern potenziell wirklich schädlich gewesen wäre – nämlich, wenn wirklich vertrauliche Daten entwendet worden wären? Der Aufschrei und die Aufmerksamkeit für Ransomware als Thema war groß, aber gerade der deutsche Mittelstand darf dabei nicht vergessen, dass so ein Exploit auch viel gefährlicher und vor allem stiller genutzt werden kann.
Die im Augenblick vielfach vorgebrachte Forderung und Ermahnung, man solle Patches umgehend einspielen ist deshalb auch absolut richtig, greift aber global gesehen zu kurz. Solange Lücken zwar von staatlichen Stellen gefunden, aber nicht dem Hersteller gemeldet werden müssen, damit dieser den Fehler beheben kann, bleibt immer ein „Geschmäckle“. Wie viele vergleichbare Angriffslücken gibt es noch, wie kann man eine Gesellschaft, die von IT abhängig ist, schützen? Selbst wenn also – und das an sich ist in der Realität der Unternehmen utopisch – sämtliche verfügbaren Patches sofort und umgehend installiert werden würden, was ist da noch, von dem wir nichts wissen?
Und das bringt uns auch gleich zur politischen Ebene. Die Risiken hinter solchen unbekannten Sicherheitslücken sind enorm – und wir haben am Wochenende gesehen, wie viele Menschen weltweit auf einmal betroffen sein können. Am Ende des Tages ist ein Exploit deshalb in unserer heutigen, digitalen Welt im Grunde nichts Anderes als eine virtuelle Massenvernichtungswaffe – selbst Microsoft hat den genutzten Exploit mit gestohlenen Tomahawk-Marschflugkörpern verglichen. Und genauso wie Tomahawks als Träger für Atomsprengköpfe sowie für konventionelle Waffen verwendet werden können, könnte solch ein Vorfall beim nächsten Mal deutlich mehr Schaden anrichten, der über ein reines Ärgernis erheblich hinausgeht.
Der Angriff des vergangenen Wochenendes, wie auch der DoublePulsar-Angriff im April, haben gezeigt, dass eine dringende Notwendigkeit besteht, analog zu Atomwaffensperrverträgen auch über Cyberwaffensperrverträge zu diskutieren. Angriffe mit atomaren, biologischen oder chemischen Kampfstoffen sind in unserer Welt geächtet, da sie nicht zielgerichtet, sondern willkürlich töten. Bei Massenvernichtungswaffen ist die begründete Angst vor völliger gegenseitiger Vernichtung die treibende Kraft. Ein entsprechend ausgeführter Angriff mit Cyberwaffen steht dem in nichts nach.
Als globale Gesellschaft regulieren wir zum Wohle aller die ABC-Waffen, aber für digitale Angriffe gibt es weder Selbstverpflichtungen, noch Komitees, die IT-Nutzer und Unternehmen schützen. Das muss sich ändern!“
#Netzpalaver #FidelisCybersecurity
