Forum: Netzwelt
"WannaCry"-Cyberattacke: Die Lehren aus dem weltweit größten Angriff mit Erpressungss
DPA

Weltweit sind Computer mit Schadsoftware infiziert worden, die ein Lösegeld für verschlüsselte Daten fordert. Wie konnte das passieren? Und was lernen wir daraus für die Zukunft?

Seite 1 von 10
olivervöl 14.05.2017, 12:12
1. Mit OpenSource wäre das nicht passierT

Zu über 98% verwenden Computer weltweit Betriebssysteme, die der US-Gerichtsbarkeit unterliegen (Windows, Mac OS, iOS, Android). Es ist bekannt, dass diese mit versteckten Hintertüren der NSA versehen sind. Da die interne Funktion dieser kommerziellen Software geheim ist und von keinem Außenstehenden kontrolliert werden kann, wurde dieser Angriff möglich.
In Krankenhäusern und sicherheitsrelevanten Betrieben (Feuerwehr, Energieversorgung) sollte OpenSource Software (u.a. Unix) vorgeschrieben werden. Alles andere ist lebensgefährlich. Die Bedrohung dürfte in den nächsten Jahren noch zunehmen.

Beitrag melden Antworten / Zitieren
skeptomane 14.05.2017, 12:15
2. Wer ist schuld?

Ja, NSA und Shadowbrokers sind ein Thema - haben aber effektiv nichts mit dem aktuellen Problem zu tun. Jedes Jahr werden diverse Schwachstellen in Betriebssystemen gefunden und (sobald bekannt) von den Herstellern geschlossen, so auch in diesem Fall.
Das Problem ist das Verhalten von Firmen und Behörden ohne adäquates Information Security Management. Wie kann es sonst sein, dass bei NHS und DB seit 2014 noch immer diverse XP Systeme im Netzwerk eigesetzt werden?
 So ein Verhalten gefährdet konkret Menschenleben, daher sollten hier auch die (personellen)Konsequenzen gezogen werden!

Beitrag melden Antworten / Zitieren
moistvonlipwik 14.05.2017, 12:27
3.

Für die Weiterbenutzung alter Systeme gibt es einen guten Grund: sie funktionieren. Jede Umstellung ist oft mit vergleichbaren (wenn nicht mehr) Problemen verbunden als jetzt die Virenattacke. Das ist die Folge des in der Branche immer geltenden Bananenprinzips: Produkt reift beim Kunden.
Ich benutze auch immer noch Windows XP - allerdings nur auf Rechnern, die keinen Zugang zum Internet habe.

Beitrag melden Antworten / Zitieren
tmhamacher1 14.05.2017, 12:29
4. Komplettes Staatsversagen!

Seit Jahrzehnten müsste der Staat für IT-Sicherheit sorgen, wie er für Sicherheit im Straßenverkehr sorgt.

Beitrag melden Antworten / Zitieren
dr.joe.66 14.05.2017, 12:32
5. NSA hätte müssen - wie naiv...

Erst mal Danke für den guten Artikel und die klaren Schlussfolgerungen. Sie haben vollkommen Recht, Herr Neumann.

Aber die Forderung an die NSA, sich zu outen und damit Betroffenen zu helfen, ist doch wohl ziemlich naiv. Geheimdienste an sich und amerikanische Geheimdienste im Besonderen interessiert es einen Dreck, ob jemand anderes durch sie oder andere zu Schaden kommt.
Da müssen wir Menschen uns schon selbst helfen. Regelmäßige Updates, Virus-Software, Back-Ups, etc. sind Hygiene-Standards, an die sich jeder halten sollte. Und wer Anhänge ohne Überlegen öffnet, der kann auch seine Haustür offen lassen, wenn er in den Urlaub fährt. Grob fahrlässig nennt man das.

Dramatisch wird es, wenn kritische Infrastruktur lahmgelegt wird. Diesmal sind Bahn, Telefon und Krankenhäuser betroffen. Was, wenn beim nächsten mal landesweit Trinkwasser und Gas- und Strom-Versorgung ausfällt, für Tage oder Wochen?

Ich habe seit ein paar Jahren einen Schwedenofen im Wohnzimmer. Das ist erstens an Winterabenden sehr gemütlich. Zweitens aber kann der Ofen auch bei -20° unser Haus heizen. Ohne Strom, ohne Gas. Und ein Koch-Fach hat das Ding auch. Und mit Solarstrom und Batterie im Keller bin ich zumindest für die Basis-Versorgung autark. Am Anfang fanden meine Kollegen (ich bin Ingenieur und arbeite in der Forschung) das ein wenig spinnert, aber nach jeder weiteren Cyber-Attacke werden immer mehr nachdenklich...

Denn eines ist klar, der Cyber-War wird zunehmen, und die Geheimdienste werden uns sicher nicht helfen.

Beitrag melden Antworten / Zitieren
jj2005 14.05.2017, 12:33
6. OpenUnsinn

Zitat von olivervöl
In Krankenhäusern und sicherheitsrelevanten Betrieben (Feuerwehr, Energieversorgung) sollte OpenSource Software (u.a. Unix) vorgeschrieben werden.
In einem anderen Thread meinte ein Experte, jeder könne unter den 400 Linux-Varianten was finden, das zu ihm passt. Nun ja, zusammen kommen die 400 (?) Distros nicht mal auf EIN Prozent Marktanteil. Klar, dass sich das für die Virenschreiber nicht lohnt. Windows ist der letzte Sch**ss, aber Linux ist eben auch keine Lösung für reale IT-Infrastruktur und reale Endanwender (und iCrap kommt mir nicht ins Haus, Punkt).

Was mich an dem Gekreische über NSA und böse Hacker immer wieder stört: Wenn die Datenpakete es schaffen, über tausend Umwege beim User anzukommen, wieso schaffen wir es nicht, ihren Weg zurückzuverfolgen? Wieso klemmen wir nicht einfach jeden Server ab, der sich weigert, den Ursprung des Pakets mitzuliefern? Technisch kein Problem, aber der Aufschrei der Torrent- und TOR-Fans wird sicher nicht auf sich warten lassen. Free movies for everybody, Netzneutralität ist heilig usw usf.

Beitrag melden Antworten / Zitieren
schumbitrus 14.05.2017, 12:39
7. Ein Schritt in die richtige Richtung ..

> Die wichtigste Lehre müssen aber wir als
> Gesellschaft ziehen. Wir brauchen eine klare
> Verpflichtung zum Melden und Beheben von
> Sicherheitslücken. Das Risiko, dem uns die
> Geheimdienste aussetzen, indem sie versuchen,
> solche Lücken geheim zu halten, steht in
> keinem Verhältnis zu ihrem Anspruch.

.. Nicht nur zu ihrem Anspruch: Geheimdienste, die NICHT über jeden Zweifel der missbräuchlichen Nutzung solcher Werkzeuge erhaben sind (z.B. um Angriffe Dritter zu simulieren und damit das eigene Losschlagen zu legitimieren und zu erzwingen!), stellen auch ein massives politisches Risiko dar: Die große Versuchung, für seine Taten nicht zur Rechenschaft gezogen werden zu können ist Moral Hazard par excellence!

Aber egal: Wer den Schritt dahin gemacht hat zu fordern, dass alle staatlichen Stellen alle Fehler offen legen müssen, der müsste auch konsequenterweise fordern, dass marktfähige Software-Produkte (früher oder später) im Quellcode offen gelegt werden muss. Denn dort haben wir ja das gleiche Problem: Microsoft stand früher bei vielen IT-Spezialisten mit einiger Wahrscheinlichkeit zu recht im Ruf, seine (maßlos überteuerte) Software bewusst vergammeln zu lassen und un-interoperabel zu machen, um dadurch Drittgeschäft zu generieren: Diese ganze Antiviren-Schlangenöl-Branche existiert ja nur, weil wir als Staat und Bürger die Anbieter nicht ausreichend zwingen, sauberere Software auf den Markt zu bringen.

Allein eine Zwangs-Offenlegung des Quellcodes im Gegenzug zur Gewährung eine zeitlich begrenzten Monopols zur Vermarktung - wie das bei Patenten aus gutem Grund selbstverständlich ist - würde die Hersteller zwingen, fehlerfreier zu programmieren. Denn wenn man das mit Haftungsfragen, z.B. bei grober Fahrlässigkeit, verbindet, dann sind auch große Software-Anbieter plötzlich motiviert, IHREN KUNDEN GEGENÜBER die LOYALITÄT aufzubringen, die sie momentan US-amerikanischen oder den chinesischen Sicherheitsorganisationen zukommen lassen - ohne die Bürger bzw. Opfer darüber zu informieren, versteht sich ..

Marktfähige Software muss zu einem definierten Zeitpunkt nach der Gewährung von reformierten "SW-Urheberrechten" im Quellcode offen gelegt werden. D.h. bei Markteinführung muss der Hersteller den Quellcode hinterlegen und zeigen, dass dies genau der Code ist, der in Binärform verkauft wird. Nach x Monaten wird diese Software dann von Amtswegen offen gelegt. Zeigen sich dann Schwachstellen entsteht, je nach Schweregrad der des Fehlers, eine Regresspflicht gegenüber betroffenen Nutzern.

DAS wäre endlich die Marktwirtschaft, die ich mir seit 15 Jahren wünsche!

Beitrag melden Antworten / Zitieren
bermany 14.05.2017, 12:40
8. Haftung

Wenn es nachweisbar ist, dass die NSA von den Sicherheitslücken wusste und zudem über deren Systeme die Informationen an die Öffentlichkeit gerieten, dann frage ich mich: Warum haftet die NSA nicht für die entstandenen Schäden?
Und wer hier OpenSource propagiert übersieht die Hintertüren im BIOS oder der Hardware/Firmware. Zudem ist dies längst kein Garant für versteckte Hintertüren. Den Ansatz, mal schnell die Welt zu ändern, nur weil Unix zufällig für die eigenen kleinen Anwendungen ausreicht, macht wenig Sinn. Beim nächsten Angriff auf Unix applaudiere ich dann...

Beitrag melden Antworten / Zitieren
schumbitrus 14.05.2017, 12:54
9. Verschwörungstheoretiker!

Zitat von jj2005
In einem anderen Thread meinte ein Experte, jeder könne unter den 400 Linux-Varianten was finden, das zu ihm passt. Nun ja, zusammen kommen die 400 (?) Distros nicht mal auf EIN Prozent Marktanteil. Klar, dass sich das für die Virenschreiber nicht lohnt. [..]
Es ist eine Verschwörungstheorie der Hersteller proprietärer Software und deren Anhänger, dass Open Source bei größerer Verbreitung die gleichen Probleme hätte.

Denn die infrastrukturellen Gegebenheiten sind unter freier Software gänzlich andere: Wenn Docker-Images und GIT-Repos sauber aufgesetzt sind, dann wird Software in Minuten bis Stunden neu gebaut und ausgeliefert, wo momentan schwerfällige Monopol-Konzerne größte personelle, technische und politische Schwierigkeiten haben, Bugs zu beheben und daher Monate bis zum Fix ins Land gehen. Um so kürzer und agiler aber das Fiximng, um so schwerer wird es für die Kriminellen, ihre Anfangs-Investition wieder rein zu holen.

Und auch hier wieder ein heikler Interessenkonflikt der Geheimdienste: Nimmt man an, einzelne Geheimdienste hätten Genug Macht, um bei Microsoft, Intel, Google und ARM, Cisco, Phoenix, etc. Bugs und in Auftrag geben, dann wären es wohl auch die Geheimdienste, die die Politik MASSIV gegen Freie Software und Transparenz beeinflussen würde.

.. und genau von denen erwarte ich dann diese ganzen Verschwörungstheorien, dass Open Source an den gleichen Stellen kranken würde.

Allerdings muss man sagen, dass Open Source nur eine notwendige, aber nicht hinreichende Bedingung ist. Die andere zwingende Randbedingung ist, dass die ganzen Software-Monopole verschwinden und auch in der IT endlich Marktwirtschaft entsteht.

Beitrag melden Antworten / Zitieren
Seite 1 von 10