17.05.2017 Kommentar zur Wanna-Cry-Attacke

Welche Rolle spielte die NSA?

Von: Ina Schlücker

Die Schwachstelle im Windows-Betriebssystem, über die die Ransomware-Attacke „Wanna Cry“ ablief, war US-Geheimdienstkreisen seit langem bekannt. Doch warum wurde nichts getan, um die Sicherheitslücke schnellstmöglich zu schließen?

Wanna-Cry-Angriffe auf Unternehmen

Man könnte weinen aufgrund der Tatsache, dass die u.a. der NSA seit langem bekannte Sicherheitslücke in älteren Windows-Betriebssystemen nicht schon früher schlossen wurde.

Erst vor kurzem sind wir in einem Kommentar auf das seit 2016 in Deutschland geltende Sicherheitsgesetz und die Lage der Betreiber von Kritischen Infrastrukturen (Kritis) mit dem Hinweis eingegangen, dass sich diese sicherheitstechnisch ganz gut aufgestellt sehen. Und nun das: Innerhalb kurzer Zeit schafft es die Ransomware „Wanna Cry“ zahlreiche Unternehmen und damit mehr als 220.000 Windows-Rechner, Notebooks oder Server in 150 Ländern (Versionen vor Windows 10, Stand Mitte Mai) – darunter auch in Deutschland – zu infiltrieren.

Von der Cyber-Erpressung betroffen waren neben Dutzenden von Krankenhäusern in Großbritannien auch die Deutsche Bahn, der US-Logistiker FedEx, der spanische Telekommunikationsanbieter Telefónica oder das russische Innenministerium. Wie bei Ransomware üblich wurden dabei die Rechner und Daten der Betroffenen mit dem Hinweis verschlüsselt, umgehend einer Lösegeldforderung nachzukommen, ansonsten wären die Inhalte unwiderruflich verloren. Da allerdings Behörden wie die Landeskriminalämter oder das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem davor warnen, solche Lösegelder zu zahlen, haben die jüngsten Cyber-Angriffe laut dem Sicherheitsanbieter Eset zum Glück einen eher überschaubaren Schaden von rund 70.000 Euro angerichtet.

Automatische Verbreitung per Wurm

Dennoch sind die Wanna-Cry-Angriffe extrem heikel, da sie sich in vielfacher Hinsicht von früheren Attacken unterscheiden: Zum einen handelt es sich um einen sogenannten „Ransomworm“. Das bedeutet, die Nutzer müssen keinen E-Mail-Anhang öffnen oder Web-Link anklicken, um sich zu infizieren. Vielmehr verbreitet sich die Malware, einmal ins Netzwerk eingedrungen, von sich aus auf anderen ungepatchten Systemen weiter. Laut Experten handelt es sich dabei um die umfassendste Infektion der Geschichte mit „Ransomware der nächsten Generation“, sodass sogar Europol von einer Attacke beispiellosen Ausmaßes spricht. „Anders als die bisher übliche Ransomware, die lediglich einen lokalen Rechner oder ein Notebook infiziert, verbreitet sich der neue Typus im Inneren des Netzwerkes der Unternehmen selbst auf unzähligen Devices“, berichtet Roi Abutbul, Gründer und CEO des Sicherheitsanbieters Javelin Networks. Und weiter: „Der Wurm bewegt sich seitlich innerhalb des Netzwerkes und verschlüsselt jeden anfälligen PC und Server einschließlich der Datensicherung der Organisation.“

Zum anderen klingt die Geschichte, wie die Cyber-Kriminellen an die Sicherheitslücke innerhalb des Windows-Systems geraten sind, mehr als abenteuerlich: So war der National Security Agency (NSA) die Schwachstelle bereits seit Jahren bekannt. Inwieweit man diese in der Vergangenheit für eigene Zwecke wie mögliche Spionagetätigkeiten nutzte, sei einmal dahingestellt. Im Zuge der sogenannten „NSA-Tools-Leaks“ wurde das mögliche Einfallstor dann im Februar 2017 veröffentlicht und somit auch in Hacker-Kreisen bekannt. Microsoft selbst schloss die Sicherheitslücke per März-Patch, wobei jedoch längst nicht alle Betroffenen davon Gebrauch machten – wie die Folgen der am 12. Mai gestarteten Ransomware-Angriffe zeigen.

Nächste Erpressungswelle rollt an

Vor solchen und anderen Angriffen können sich Unternehmen am besten schützen, indem sie regelmäßig Sicherheits-Patches einspielen und stets auf die aktuellste Version ihrer Betriebssysteme setzen. Zwar wird es im Zuge der aktuellen Vorfälle wohl in den meisten Unternehmen und öffentlichen Einrichtungen zu einer Update-Welle unter Windows-Systemen kommen. Erfahrungsgemäß werden jedoch nicht alle Systeme gepatcht, wodurch sich für die Täter und potentielle Trittbrettfahrer weiterhin lukrative Lücken auftun werden.

Vor diesem Hintergrund ist das Ende der Erpressungswelle auf Basis der „Wanna Cry“-Malware und deren Derivate noch nicht abzusehen. So warnen denn auch Sicherheitsanbieter wie Checkpoint aktiv vor weiteren Attacken und vor den verschiedenen zur Infiltration angewandten Methoden: Dabei werden Unternehmen und Organisationen per direkter Infektion angegriffen. Zudem werden E-Mails mit bösartigen Links versendet. Auch gibt es E-Mails, die bösartige PDF-Anhänge oder aber ZIP-Dateien enthalten, die wiederum von Schadcode befallen sind. Nicht zuletzt wurden Brute-Force-Attacken gegen RDP-Server registriert, die bei Erfolg die Ransomware ebenfalls streuen können.

Erschreckend ist, wie schnell die Ransomware das britische Gesundheitswesen zwar nicht komplett lahmlegen, aber doch stark beeinträchtigen konnte. Was, wenn die Angreifer künftig auf konzertierte Aktionen umschwenken und sich zeitgleich mehreren öffentlichen Bereichen zuwenden. Dann könnten über Ländergrenzen hinweg Finanzsysteme zusammenbrechen und Einzelhändler müssten ihre Filialen schließen. Zudem könnten die Energie- und Wasserversorgung eingeschränkt werden und die Logistik sowie das öffentliche Nah- und Fernverkehrsnetz in die Knie gehen.

Zwar sind laut BSI die deutschen Regierungsnetze von den aktuellen Angriffen nicht betroffen, was aber nicht heißt, dass dies auch in Zukunft der Fall sein wird. Vielleicht hört es sich etwas antiquiert an, aber es kann durchaus beruhigend klingen, wenn die globale Vernetzungswut vor manchen Dingen oder Einrichtungen halt macht – etwa vor den technischen Systemen in Atomkraftwerken, den Kollisionswarnsystemen der Luftfahrt oder bei Waffensystemen aller Art.

Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH