"WannaCry"-Cyberattacke Die Lehren aus dem weltweit größten Angriff mit Erpressungssoftware

Weltweit sind Computer mit Schadsoftware infiziert worden, die ein Lösegeld für verschlüsselte Daten fordert. Wie konnte das passieren? Und was lernen wir daraus für die Zukunft?

Screenshot eines Sicherheits-Software-Updates
DPA

Screenshot eines Sicherheits-Software-Updates

Ein Gastbeitrag von Linus Neumann


Wenig Zeit? Am Textende gibt's eine Zusammenfassung.


In einer großen Angriffswelle infizierten Kriminelle am Freitag weltweit Tausende Rechner mit einer Schadsoftware. Auf den betroffenen Computern wurden alle Daten verschlüsselt und ein Lösegeld gefordert, um sie wieder freizugeben. Betroffen waren unter anderem britische Krankenhäuser und die Deutsche Bahn. Der Angriff ist bisher der Höhepunkt eines Dramas, das im August 2016 begonnen hat.

Damals rühmte sich eine Gruppe namens The Shadow Brokers damit, die NSA gehackt zu haben. Dabei war sie in den Besitz vieler "Cyberwaffen" gekommen, die sie per Auktion versteigern wollte.

Albtraum für die NSA

Ein Albtraum-Szenario für die Hacker der NSA. Wenn ihre Werkzeuge an die Öffentlichkeit gelangen, sind sie schlagartig wertlos. Die zugrunde liegenden Sicherheitslücken werden gestopft, und die Angriffe des Geheimdienstes funktionieren nicht mehr.

Noch ärgerlicher: Angriffe aus der Vergangenheit können nicht nur nachgewiesen und bekämpft, sondern auch der NSA zugeschrieben werden. Nicht nur würde die NSA ihre Zugänge zu den fremden Systemen verlieren - auch die eine oder andere diplomatische Verstimmung zwischen internationalen Geheimdiensten war zu erwarten.

Nicht zuletzt leidet der Ruf der NSA, zeigt der Vorfall doch, dass die staatlichen Hacker nicht in der Lage waren, den Inhalt ihres Waffenschranks für sich zu behalten. Dass der NSA politisch nicht zu trauen ist, war seit Edward Snowden bekannt - dass dem US-Geheimdienst auch technisch nicht zu trauen ist, war neu.

Waffe frei zum Download verfügbar

In den darauffolgenden Monaten veröffentlichten die Shadow Brokers immer wieder Teile ihrer Beute. Die Veröffentlichungen waren mal mehr, mal weniger explosiv, aber immer peinlich und ärgerlich für die NSA.

Im Februar 2017 erregte Microsoft mit einem ungewöhnlichen Schritt Aufsehen: Der regelmäßig stattfindende "Patch Tuesday", an dem das Unternehmen traditionell die Updates für Windows-Systeme veröffentlicht, fiel kurzfristig und ohne Erklärung aus. Stattdessen waren die Updates im März sehr viel umfangreicher.

Die Unregelmäßigkeit führte zu allerlei Spekulationen, bis exakt einen Monat später, im April 2017, die Shadow Brokers wieder von sich hören ließen: Sie veröffentlichten mehrere NSA-Waffen, von denen die meisten auf Windows-Betriebssysteme abzielten. Darunter "Eternalblue", ein Angriffswerkzeug, das alle Versionen seit dem 2001 eingeführten Windows XP betraf.

Königsklasse der Hacking-Angriffe

Das Tool erreicht eine Remote Code Execution, die Königsklasse der Hacking-Angriffe: Sie erlaubt es, ein verwundbares System aus der Ferne ohne weitere Interaktion mit dem Nutzer zu übernehmen. Einzige Voraussetzung: Der Zielrechner muss eine Dateifreigabe über das Netzwerk anbieten - eine Standardfunktion des Windows-Betriebssystems, insbesondere in seinen Server-Versionen. Diese mächtige Waffe war nun frei zum Download verfügbar.

"Glücklicherweise" hatte Microsoft ja kurz vorher ein Sicherheitsupdate bereitgestellt - ob der Tipp von der NSA oder von den Shadow Brokers selbst kam, ist nicht überliefert. Aber der Grund für die merkwürdige Verzögerung im Februar war gefunden.

Jene Administratoren und Nutzer, die ihre Systeme einem regelmäßigen Update-Zyklus unterziehen, hatten durch die Veröffentlichung von "Eternalblue" nichts zu befürchten. Doch nicht alle sind so diszipliniert, die Updates zeitnah einzuspielen. Das ist in jedem Fall fahrlässig, mag in vielen Fällen aber durch den Einsatz von Nischensoftware begründet sein, die auf neueren Systemen nicht mehr funktioniert.

Vielleicht gehören deshalb ausgerechnet Krankenhäuser und die Deutsche Bahn zu den bekannten Opfern. Dennoch entschuldigt es nicht, dass die Systeme mit der kritischen Schwachstelle ungeschützt am Internet hingen.

Zu den Opfern der Cyber-Attacken zählen (Auswahl):
    Deutschland: Computer der Deutschen Bahn sind von dem Angriff erfasst. Betroffen seien Anzeigetafeln und Fahrkartenautomaten, teilte ein Sprecher mit. Der Zugverkehr rolle aber.
  • Großbritannien: Die Schadsoftware hat in mehreren Krankenhäusern die Computer blockiert. Die Bevölkerung wurde gebeten, nur in wirklichen Notfällen zu kommen, einige Patienten mussten verlegt werden.
  • Russland: Das Innenministerium bestätigte, dass es angegriffen worden sei. Rund 1000 Computer seien betroffen. Allerdings seien keine Daten verloren gegangen - inzwischen habe man die Attacke im Griff.
  • USA: Der US-Logistikriese FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff.
  • Spanien: Die spanische Telefónica bestätigte einen "Cybersicherheitsvorfall". Der Service soll davon jedoch nicht beeinträchtigt worden sein.
  • Portugal: Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren.
  • Schweden: 70 Computer der Gemeinde Timrå waren betroffen, wie es auf der Webseite der Verwaltung hieß. Die Monitore der Mitarbeiter seien erst blau, dann schwarz geworden. Auch der Stahlkonzern Sandvik wurde nach eigenen Angaben angegriffen.
  • Frankreich: Der Autobauer Renault stoppte wegen der Angriffe die Produktion in einigen Werken, "um eine Ausbreitung der Schadsoftware zu verhindern".
Taiwan: Der kleine Inselstaat südlich von China gilt als einer der Hauptziele der Hacker - genauso wie die Ukraine.

Die Angreifer nutzten den NSA-Exploit nicht etwa, um im Stile eines Geheimdienstes unbemerkt einzudringen und sich festzusetzen. Sie kombinierten ihn mit "WannaCry", einer sogenannten Ransomware.

Schadsoftware dieser Art kursiert seit einiger Zeit im Netz. Sie verschlüsselt alle Nutzerdaten auf den befallenen Systemen und fordert dann ein Lösegeld für die Wiederherstellung. Wer seine Dateien nicht auf anderem Wege wiederherstellen kann, etwa aus einem Backup, dem bleibt nichts anderes übrig, als das Lösegeld zu zahlen.

Erpresser-Viren - wie kann ich mich schützen?
Seien Sie vorsichtig mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dokumenten, die Sie per E-Mail erhalten. Vor allem bei Nachrichten von fremden Personen sollten Sie vorsichtig sein. "Locky" und andere Ransomware-Trojaner werden nach Angaben von Sicherheitsexperten meist über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Worddokument tarnen, aber im Hintergrund die gefährliche Software ausführen. Völlige Sicherheit lässt sich so aber nicht erreichen: Auch als "drive-by", also einfach beim Besuch einer Website kann man sich Ransomware einfangen. Es traf sogar schon Leser von Seiten wie Nytimes.com und BBC.com.
Daten per Back-up sichern
Ransomware-Trojaner verschlüsseln Ihre Dateien oft so gut, dass sie dauerhaft unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit Sie Ihre Dokumente im Notfall wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte. Auch ein Cloud-Back-up kann sinnvoll sein - das sollte man dann aber sicher verschlüsseln.
Verwenden Sie aktuelle Software
Um Sicherheitslücken zu schließen, sollten Sie möglichst alle Programme auf Ihrem Rechner auf den neuesten Stand bringen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen Sicherheitslücken in dieser Software aus.
Benutzen Sie aktuelle Virenschutz-Software
Die neuesten Versionen der Erpressertrojaner schaffen es zuweilen auch an aktuellen Sicherheitsprogrammen vorbei, aber schon bekannte Varianten kann ein Virenschutzprogramm abfangen. Diverse Anbieter haben auch kostenlose Versionen ihrer Schutzsoftware im Programm, die zumindest einen Basisschutz bieten, und bereits bekannte Virensignaturen erkennen.

Die Forderung von "WannaCry" ist zudem besonders perfide: Wird nicht innerhalb von drei Tagen gezahlt, verdoppelt sich die Forderung. Nach sieben Tagen, so kündigen die Angreifer an, verfällt das Angebot, die Dateien wiederherzustellen.

Vielleicht geht es den Angreifern aber auch gar nicht primär ums Geld. So war die Software mit einem Kill Switch ausgestattet, der ihrem schädlichen Treiben ein Ende bereitet: Bevor die Ransomware ausgeführt wird, prüft sie, ob eine Internetadresse existiert. Ist dies der Fall, bleibt der Angriff aus.

Zu Beginn der Angriffswelle existierte die Domain nicht und wurde umgehend von einem Sicherheitsforscher registriert. Aus Sicht der Angreifer war es eine grobe Nachlässigkeit, einen Kill Switch zu wählen, der nicht ausschließlich unter der eigenen Kontrolle ist. Oder war es Absicht, damit Dritte ihrem Treiben so ein Ende bereiten konnten? Inzwischen ist schon wieder eine neue Variante im Umlauf - diesmal ohne Kill Switch. Das Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern geht weiter.

Regelmäßige Back-ups sind ein Muss

Was lernen wir aus dem Desaster? Erstens: Wenn Sicherheitsupdates bereitgestellt werden, müssen wir sie zügig installieren, wenn wir nicht unter die Räder kommen wollen. Zweitens: Regelmäßige Back-ups, also Sicherungskopien unserer Dateien, sind nicht optional. Sie helfen ja nicht nur gegen Erpresser, sondern auch beim Verlust unserer Geräte.

Die wichtigste Lehre müssen aber wir als Gesellschaft ziehen. Wir brauchen eine klare Verpflichtung zum Melden und Beheben von Sicherheitslücken. Das Risiko, dem uns die Geheimdienste aussetzen, indem sie versuchen, solche Lücken geheim zu halten, steht in keinem Verhältnis zu ihrem Anspruch.

Spätestens seit August 2016 wusste die NSA, dass ihre Waffen in den Händen Dritter waren. Spätestens zu diesem Zeitpunkt hätte sie die Hersteller der betroffenen Systeme informieren und ihnen helfen müssen, die Lücken zu schließen. Den Preis zahlen nun die Krankenhäuser, Patienten und Unternehmen, mit deren Sicherheit die NSA leichtfertig gespielt hat.

Zum Autor
  • Luca Melette
    Der Diplom-Psychologe Linus Neumann ist Computerexperte und einer der Sprecher des Chaos Computer Club (CCC). Er wurde mehrmals als Sachverständiger für IT-Sicherheit in Ausschüssen des Deutschen Bundestags gehört.

Zusammengefasst: Die Erpressersoftware "WannaCry" hat seit Freitag weltweit Tausende Computer infiziert. Die ausgenutzte Sicherheitslücke stammt aus dem Baukasten des US-Geheimdienstes NSA. Aus dem Desaster lassen sich drei Lehren ziehen: Erstens sollten Sicherheitsupdates zügig installiert werden, zweitens sind Back-ups ein Muss, und drittens braucht die Gesellschaft eine klare Verpflichtung zum Melden und Beheben von Sicherheitslücken.



insgesamt 93 Beiträge
Alle Kommentare öffnen
Seite 1
olivervöl 14.05.2017
1. Mit OpenSource wäre das nicht passierT
Zu über 98% verwenden Computer weltweit Betriebssysteme, die der US-Gerichtsbarkeit unterliegen (Windows, Mac OS, iOS, Android). Es ist bekannt, dass diese mit versteckten Hintertüren der NSA versehen sind. Da die interne Funktion dieser kommerziellen Software geheim ist und von keinem Außenstehenden kontrolliert werden kann, wurde dieser Angriff möglich. In Krankenhäusern und sicherheitsrelevanten Betrieben (Feuerwehr, Energieversorgung) sollte OpenSource Software (u.a. Unix) vorgeschrieben werden. Alles andere ist lebensgefährlich. Die Bedrohung dürfte in den nächsten Jahren noch zunehmen.
skeptomane 14.05.2017
2. Wer ist schuld?
Ja, NSA und Shadowbrokers sind ein Thema - haben aber effektiv nichts mit dem aktuellen Problem zu tun. Jedes Jahr werden diverse Schwachstellen in Betriebssystemen gefunden und (sobald bekannt) von den Herstellern geschlossen, so auch in diesem Fall. Das Problem ist das Verhalten von Firmen und Behörden ohne adäquates Information Security Management. Wie kann es sonst sein, dass bei NHS und DB seit 2014 noch immer diverse XP Systeme im Netzwerk eigesetzt werden?
 So ein Verhalten gefährdet konkret Menschenleben, daher sollten hier auch die (personellen)Konsequenzen gezogen werden!
moistvonlipwik 14.05.2017
3.
Für die Weiterbenutzung alter Systeme gibt es einen guten Grund: sie funktionieren. Jede Umstellung ist oft mit vergleichbaren (wenn nicht mehr) Problemen verbunden als jetzt die Virenattacke. Das ist die Folge des in der Branche immer geltenden Bananenprinzips: Produkt reift beim Kunden. Ich benutze auch immer noch Windows XP - allerdings nur auf Rechnern, die keinen Zugang zum Internet habe.
tmhamacher1 14.05.2017
4. Komplettes Staatsversagen!
Seit Jahrzehnten müsste der Staat für IT-Sicherheit sorgen, wie er für Sicherheit im Straßenverkehr sorgt.
dr.joe.66 14.05.2017
5. NSA hätte müssen - wie naiv...
Erst mal Danke für den guten Artikel und die klaren Schlussfolgerungen. Sie haben vollkommen Recht, Herr Neumann. Aber die Forderung an die NSA, sich zu outen und damit Betroffenen zu helfen, ist doch wohl ziemlich naiv. Geheimdienste an sich und amerikanische Geheimdienste im Besonderen interessiert es einen Dreck, ob jemand anderes durch sie oder andere zu Schaden kommt. Da müssen wir Menschen uns schon selbst helfen. Regelmäßige Updates, Virus-Software, Back-Ups, etc. sind Hygiene-Standards, an die sich jeder halten sollte. Und wer Anhänge ohne Überlegen öffnet, der kann auch seine Haustür offen lassen, wenn er in den Urlaub fährt. Grob fahrlässig nennt man das. Dramatisch wird es, wenn kritische Infrastruktur lahmgelegt wird. Diesmal sind Bahn, Telefon und Krankenhäuser betroffen. Was, wenn beim nächsten mal landesweit Trinkwasser und Gas- und Strom-Versorgung ausfällt, für Tage oder Wochen? Ich habe seit ein paar Jahren einen Schwedenofen im Wohnzimmer. Das ist erstens an Winterabenden sehr gemütlich. Zweitens aber kann der Ofen auch bei -20° unser Haus heizen. Ohne Strom, ohne Gas. Und ein Koch-Fach hat das Ding auch. Und mit Solarstrom und Batterie im Keller bin ich zumindest für die Basis-Versorgung autark. Am Anfang fanden meine Kollegen (ich bin Ingenieur und arbeite in der Forschung) das ein wenig spinnert, aber nach jeder weiteren Cyber-Attacke werden immer mehr nachdenklich... Denn eines ist klar, der Cyber-War wird zunehmen, und die Geheimdienste werden uns sicher nicht helfen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.