"WannaCry"-Cyberattacke Die Lehren aus dem weltweit größten Angriff mit Erpressungssoftware

Von Linus Neumann
Von Linus Neumann
Weltweit sind Computer mit Schadsoftware infiziert worden, die ein Lösegeld für verschlüsselte Daten fordert. Wie konnte das passieren? Und was lernen wir daraus für die Zukunft?
Screenshot eines Sicherheits-Software-Updates

Screenshot eines Sicherheits-Software-Updates

Foto: Yui Mok/ dpa

In einer großen Angriffswelle infizierten Kriminelle am Freitag weltweit Tausende Rechner mit einer Schadsoftware. Auf den betroffenen Computern wurden alle Daten verschlüsselt und ein Lösegeld gefordert, um sie wieder freizugeben. Betroffen waren unter anderem britische Krankenhäuser und die Deutsche Bahn. Der Angriff ist bisher der Höhepunkt eines Dramas, das im August 2016 begonnen hat.

Damals rühmte sich eine Gruppe namens The Shadow Brokers damit, die NSA gehackt zu haben. Dabei war sie in den Besitz vieler "Cyberwaffen" gekommen, die sie per Auktion versteigern wollte.

Albtraum für die NSA

Ein Albtraum-Szenario für die Hacker der NSA. Wenn ihre Werkzeuge an die Öffentlichkeit gelangen, sind sie schlagartig wertlos. Die zugrunde liegenden Sicherheitslücken werden gestopft, und die Angriffe des Geheimdienstes funktionieren nicht mehr.

Noch ärgerlicher: Angriffe aus der Vergangenheit können nicht nur nachgewiesen und bekämpft, sondern auch der NSA zugeschrieben werden. Nicht nur würde die NSA ihre Zugänge zu den fremden Systemen verlieren - auch die eine oder andere diplomatische Verstimmung zwischen internationalen Geheimdiensten war zu erwarten.

Nicht zuletzt leidet der Ruf der NSA, zeigt der Vorfall doch, dass die staatlichen Hacker nicht in der Lage waren, den Inhalt ihres Waffenschranks für sich zu behalten. Dass der NSA politisch nicht zu trauen ist, war seit Edward Snowden bekannt - dass dem US-Geheimdienst auch technisch nicht zu trauen ist, war neu.

Waffe frei zum Download verfügbar

In den darauffolgenden Monaten veröffentlichten die Shadow Brokers immer wieder Teile ihrer Beute. Die Veröffentlichungen waren mal mehr, mal weniger explosiv, aber immer peinlich und ärgerlich für die NSA.

Im Februar 2017 erregte Microsoft mit einem ungewöhnlichen Schritt Aufsehen: Der regelmäßig stattfindende "Patch Tuesday", an dem das Unternehmen traditionell die Updates für Windows-Systeme veröffentlicht, fiel kurzfristig und ohne Erklärung aus. Stattdessen waren die Updates im März sehr viel umfangreicher.

Die Unregelmäßigkeit führte zu allerlei Spekulationen, bis exakt einen Monat später, im April 2017, die Shadow Brokers wieder von sich hören ließen: Sie veröffentlichten mehrere NSA-Waffen, von denen die meisten auf Windows-Betriebssysteme abzielten. Darunter "Eternalblue", ein Angriffswerkzeug, das alle Versionen seit dem 2001 eingeführten Windows XP betraf.

Königsklasse der Hacking-Angriffe

Das Tool erreicht eine Remote Code Execution, die Königsklasse der Hacking-Angriffe: Sie erlaubt es, ein verwundbares System aus der Ferne ohne weitere Interaktion mit dem Nutzer zu übernehmen. Einzige Voraussetzung: Der Zielrechner muss eine Dateifreigabe über das Netzwerk anbieten - eine Standardfunktion des Windows-Betriebssystems, insbesondere in seinen Server-Versionen. Diese mächtige Waffe war nun frei zum Download verfügbar.

"Glücklicherweise" hatte Microsoft ja kurz vorher ein Sicherheitsupdate bereitgestellt - ob der Tipp von der NSA oder von den Shadow Brokers selbst kam, ist nicht überliefert. Aber der Grund für die merkwürdige Verzögerung im Februar war gefunden.

Jene Administratoren und Nutzer, die ihre Systeme einem regelmäßigen Update-Zyklus unterziehen, hatten durch die Veröffentlichung von "Eternalblue" nichts zu befürchten. Doch nicht alle sind so diszipliniert, die Updates zeitnah einzuspielen. Das ist in jedem Fall fahrlässig, mag in vielen Fällen aber durch den Einsatz von Nischensoftware begründet sein, die auf neueren Systemen nicht mehr funktioniert.

Vielleicht gehören deshalb ausgerechnet Krankenhäuser und die Deutsche Bahn zu den bekannten Opfern. Dennoch entschuldigt es nicht, dass die Systeme mit der kritischen Schwachstelle ungeschützt am Internet hingen.

Zu den Opfern der Cyber-Attacken zählen (Auswahl):

Deutschland: Computer der Deutschen Bahn sind von dem Angriff erfasst. Betroffen seien Anzeigetafeln und Fahrkartenautomaten, teilte ein Sprecher mit. Der Zugverkehr rolle aber.Großbritannien: Die Schadsoftware hat in mehreren Krankenhäusern die Computer blockiert. Die Bevölkerung wurde gebeten, nur in wirklichen Notfällen zu kommen, einige Patienten mussten verlegt werden.Russland: Das Innenministerium bestätigte, dass es angegriffen worden sei. Rund 1000 Computer seien betroffen. Allerdings seien keine Daten verloren gegangen - inzwischen habe man die Attacke im Griff.USA: Der US-Logistikriese FedEx entschuldigte sich bei Kunden für Ausfälle durch den Angriff.Spanien: Die spanische Telefónica bestätigte einen "Cybersicherheitsvorfall". Der Service soll davon jedoch nicht beeinträchtigt worden sein.Portugal: Der Telekom-Konzern Portugal Telecom (PT) riet den Mitarbeitern, alle Windows-Rechner herunterzufahren.Schweden: 70 Computer der Gemeinde Timrå waren betroffen, wie es auf der Webseite der Verwaltung hieß. Die Monitore der Mitarbeiter seien erst blau, dann schwarz geworden. Auch der Stahlkonzern Sandvik wurde nach eigenen Angaben angegriffen.Frankreich: Der Autobauer Renault stoppte wegen der Angriffe die Produktion in einigen Werken, "um eine Ausbreitung der Schadsoftware zu verhindern".Taiwan: Der kleine Inselstaat südlich von China gilt als einer der Hauptziele der Hacker - genauso wie die Ukraine.

Die Angreifer nutzten den NSA-Exploit nicht etwa, um im Stile eines Geheimdienstes unbemerkt einzudringen und sich festzusetzen. Sie kombinierten ihn mit "WannaCry", einer sogenannten Ransomware.

Schadsoftware dieser Art kursiert seit einiger Zeit im Netz. Sie verschlüsselt alle Nutzerdaten auf den befallenen Systemen und fordert dann ein Lösegeld für die Wiederherstellung. Wer seine Dateien nicht auf anderem Wege wiederherstellen kann, etwa aus einem Backup, dem bleibt nichts anderes übrig, als das Lösegeld zu zahlen.

Erpresser-Viren - wie kann ich mich schützen?

Die Forderung von "WannaCry" ist zudem besonders perfide: Wird nicht innerhalb von drei Tagen gezahlt, verdoppelt sich die Forderung. Nach sieben Tagen, so kündigen die Angreifer an, verfällt das Angebot, die Dateien wiederherzustellen.

Vielleicht geht es den Angreifern aber auch gar nicht primär ums Geld. So war die Software mit einem Kill Switch ausgestattet, der ihrem schädlichen Treiben ein Ende bereitet: Bevor die Ransomware ausgeführt wird, prüft sie, ob eine Internetadresse existiert. Ist dies der Fall, bleibt der Angriff aus.

Zu Beginn der Angriffswelle existierte die Domain nicht und wurde umgehend von einem Sicherheitsforscher registriert. Aus Sicht der Angreifer war es eine grobe Nachlässigkeit, einen Kill Switch zu wählen, der nicht ausschließlich unter der eigenen Kontrolle ist. Oder war es Absicht, damit Dritte ihrem Treiben so ein Ende bereiten konnten? Inzwischen ist schon wieder eine neue Variante im Umlauf - diesmal ohne Kill Switch. Das Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern geht weiter.

Regelmäßige Back-ups sind ein Muss

Was lernen wir aus dem Desaster? Erstens: Wenn Sicherheitsupdates bereitgestellt werden, müssen wir sie zügig installieren, wenn wir nicht unter die Räder kommen wollen. Zweitens: Regelmäßige Back-ups, also Sicherungskopien unserer Dateien, sind nicht optional. Sie helfen ja nicht nur gegen Erpresser, sondern auch beim Verlust unserer Geräte.

Die wichtigste Lehre müssen aber wir als Gesellschaft ziehen. Wir brauchen eine klare Verpflichtung zum Melden und Beheben von Sicherheitslücken. Das Risiko, dem uns die Geheimdienste aussetzen, indem sie versuchen, solche Lücken geheim zu halten, steht in keinem Verhältnis zu ihrem Anspruch.

Spätestens seit August 2016 wusste die NSA, dass ihre Waffen in den Händen Dritter waren. Spätestens zu diesem Zeitpunkt hätte sie die Hersteller der betroffenen Systeme informieren und ihnen helfen müssen, die Lücken zu schließen. Den Preis zahlen nun die Krankenhäuser, Patienten und Unternehmen, mit deren Sicherheit die NSA leichtfertig gespielt hat.

Zum Autor
Foto: Luca Melette

Der Diplom-Psychologe Linus Neumann ist Computerexperte und einer der Sprecher des Chaos Computer Club (CCC). Er wurde mehrmals als Sachverständiger für IT-Sicherheit in Ausschüssen des Deutschen Bundestags gehört.


Zusammengefasst: Die Erpressersoftware "WannaCry" hat seit Freitag weltweit Tausende Computer infiziert. Die ausgenutzte Sicherheitslücke stammt aus dem Baukasten des US-Geheimdienstes NSA. Aus dem Desaster lassen sich drei Lehren ziehen: Erstens sollten Sicherheitsupdates zügig installiert werden, zweitens sind Back-ups ein Muss, und drittens braucht die Gesellschaft eine klare Verpflichtung zum Melden und Beheben von Sicherheitslücken.