Heul doch: WannaCry 2.0 wird kommen!

Heul doch: WannaCry 2.0 wird kommen!

WannyCry ist eigentlich nur ein Rohrkrepierer mit viel Presserummel. Viel interessanter ist, warum Ransomware es auch in Zukunft schaffen wird, viele Computer lahmzulegen. Hier erhalten Sie die Antwort!

WannaCry hat so viel Presse erhalten, wie kaum ein anderer Virus oder Wurm. Was die gefühlte Aufmerksamkeit angeht, liegt es sicherlich gleichauf mit "I love you" und "Locky". Und trotzdem ist WannaCry in Wirklichkeit ein Rohrkrepierer, der nur Verlierer hinterlässt. Ein Rohrkrepierer aber, der den Finger sprichwörtlich in Wunden legt, die noch nicht so richtig weh tun, aber schon bald zu eitern beginnen.

Verwundbarkeit

Wie kein anderer Virus oder Wurm hat uns WannaCry vor knapp zweieinhalb Wochen die Verwundbarkeit der Digitalisierung vor Augen geführt. Es hat den Finger in Wunden gelegt, die nicht nur Industrie 4.0 aufreißt. Es hat den Finger auch in die Wunden gelegt, vor denen wir – bewusst – die Augen verschließen. Und es zeigt uns auch, dass wir (noch) kein Patentrezept, keine One-Click-Lösung gegen Angriffe aus dem Netz haben. Und: WannaCry 2.0 wird kommen. Und zwar nicht früher oder später, sondern schon bald, dessen bin ich mir sicher.

IT-Sicherheit war schon immer ein Zusammenspiel vieler Faktoren. Neben vernünftiger Hard- und Software wie Anti-Viren-Programmen, Firewalls und Intrusion-Detection-Systemen spielt auch der Faktor Mensch eine große Rolle. Das haben mittlerweile viele Firmen erkannt und geben Geld für "Awareness-Kampagnen" und entsprechende Schulungen aus. Aber das ist immer noch nicht alles. Es bedarf auch eines Konzeptes. Eines Sicherheitskonzeptes für die Systeme, die eine Firma oder ein großer Konzern am Laufen hat – und zwar solange sie laufen. Dabei geht es nicht um den Austausch bei Defekten, sondern um Patchmanagement. Und da fangen die Schwierigkeiten an, die WannaCry und alle anderen Verschlüsselungstrojaner, die da noch folgen werden, ausnutzen. Man hat das alles nämlich gar nicht selbst in der Hand. Zulieferer entscheiden mit selbst definierten Lebenszyklen ihrer Produkte, wann man ein System austauschen muss – oder sehenden Auges das Risiko eingeht, dass es gehackt wird.

Never touch a running system

Bei der Deutschen Bahn fielen durch WannaCry laut Wikipedia rund 450 Rechner aus. Neben den weithin sichtbar infizierten Anzeigen auf Bahnsteigen waren auch einige Videoüberwachungssysteme betroffen sowie eine regionale Leitstelle. Immer neue Fotos von ausgefallenen Anzeigetafeln lieferten sich auf Twitter ein Kopf-an-Kopf-Rennen um Herzchen und Retweets, einige davon schafften es sogar bis in die BILD-Zeitung (zumindest Online). Die Deutsche Bahn sah in den Medien wie ein Verlierer aus, denn immer schwang ein wenig der Unterton mit, dass es sich um veraltete Systeme handelt und all das nicht passiert wäre, wenn – ja wenn – die Deutsche Bahn doch das vorhandene Update eingespielt hätte. Und: hahaha – die setzen ja noch Windows XP ein.

Darstellung Kreidetafel UpdateDie Notwendigkeit von Updates wird oft noch unterschätzt

Ich weiß nicht, wie viele Windows XP Rechner die Bahn noch hat, aber sie ist definitiv nicht alleine auf der Welt. Mehr als die Hälfte aller Unternehmen hat noch mindestens einen XP Rechner in Betrieb – obwohl es dafür schon seit April 2014 keinen Support mehr gibt. Und ich finde daran gar nichts verwerfliches. Ich stelle mir gerade den Shitstorm vor, wenn die Ticketpreise erhöht werden, weil funktionierende Anzeigemonitore reihenweise auf den Sondermüll geworfen werden, nur um sie mit neuen Displays, Rechnern und Windows 10 wieder aufzustellen. Machen wir uns doch nichts vor. Die Bahn hatte mal ein Projektteam, das sich um Anzeigetafeln gekümmert hat. Man entschied sich damals für das aktuelle Windows XP, kaufte Hardware, machte einen Rollout und nach der Projektabschlussfeier gingen die Mitarbeiter in andere Projekte. So ist das nun mal. Und dann? Never touch a running system?!

Ist das noch gut, oder kann das weg?

Und hier kommt der zweite Verlierer ins Spiel: Microsoft. Die haben nämlich aus völlig nachvollziehbaren Gründen irgendwann den Support für ältere Betriebssysteme eingestellt – und werden dafür jetzt geprügelt. "Never touch a running system" ist für Microsoft ein Killer für den Umsatz. Die müssen einfach neue Lizenzen verkaufen, denn es kostet einen Haufen Geld, Entwicklerteams, Testumgebungen und einen Releaseprozess für Altsysteme am Laufen zu halten. Kann man das verlangen für alle ehemaligen Windows Versionen? Vielleicht auch noch für DOS – nur, weil das irgendwo noch am Laufen ist? Man würde es sich wünschen, aber im Kapitalismus funktioniert das nicht.

Aus dem gleichen Grund liefert Samsung nur Android-Updates für die letzten zwei, drei Gerätezyklen und lässt den Rest seiner Kundschaft im Stich. Aufgrund der Brisanz und der Verwundbarkeit nahezu aller Versionen hat Microsoft für die von WannaCry ausgenutzte Lücke im Samba V1 Protokoll doch ein Update geliefert. Im März, und zwar für die Embedded Systeme und Windows 7 bis 10. Am 13. Mai gab es nach heftiger Kritik und den reihenweisen Ausfällen auch nachgeschobene Updates für Windows XP und Windows Server 2003.

Das Problem an der Sache: die Lücke wurde bereits aktiv ausgenutzt und wohl keine größere Firma hatte ad hoc eine Projektgruppe am Start, die alle alten Systeme – Desktop-Rechner, Server und auch alle Geräte im Internet of Things – ausfindig macht, patcht, testet und freigibt. Und trotzdem wanderte der schwarze Peter zurück zum User – denn ein Update war ja da, man hätte das doch bloß einspielen brauchen. Ich weiß nicht, wie viele Stunden ich durch fehlerhafte Updates und x.0 Versionen vergeudet habe. Eines weiß ich jedoch sicher: ich bin nicht alleine auf der Welt mit Menschen (Systemadministratoren), denen eine neue Version niemals in der ersten Woche auf ein System kommt. Sollen sich doch andere die Finger verbrennen. Wie soll man sich also bitte schön richtig verhalten?

Bitte erst an der Kasse bezahlen

Der dritte Verlierer rund um WannaCry sind die Angreifer selbst. Da haben die so einen schönen Virus geschrieben – und dann ist der so extrem erfolgreich, dass es schon wieder gefährlich wird. Ich kann mir gut vorstellen, dass die reine Verbreitung über ein Email-Attachment maximal ähnlich hohe Schäden angerichtet hätte, wie vorangegangene Krypto-Trojaner. Aber die geniale Idee, das Schadprogramm dann auch noch wurmartig von Rechner zu Rechner hopsen zu lassen war wohl erfolgreicher, als die Angreifer sich das vorgestellt hatten.

Hunderttausende infizierte Rechner weltweit rufen natürlich sofort die Polizei aus aller Herren Länder auf den Plan. Geheimdienste tauschen Informationen aus und Virenschutz-Hersteller analysieren den Code oder verfolgen die Bitcoin-Ströme. Da kann man nicht mal in Ruhe den vielen Opfern Support beim Bezahlen anbieten, weil man Angst haben muss, dass man erwischt wird. Noch schlimmer für die "Hacker" ist aber die Tatsache, dass die betroffenen Systeme entweder kaum Nutzdaten beherbergt haben – oder mittlerweile echt viele ein funktionierendes Backup haben. Je nachdem welche Quellen man zitiert, haben nämlich gerade mal 300 Opfer einen Betrag von 70.000 Dollar bezahlt. Das ist fast nichts. Wenn man bedenkt, dass 150 Länder und 230.000 Rechner betroffen sind, ist das sogar geradezu lächerlich. 30 Cent pro verseuchtem Computer macht das. War wohl nix mit dem Ferrari. Einen Rohrkrepierer nennt man das.

Vielfalt schafft Sicherheit

WannaCry hat erstmals so richtig deutlich gemacht, dass wir uns gegen Angriffe auf Infrastrukturen nur wehren können, wenn alle am gleichen Strang ziehen. Firmen müssen Prozesse und Mitarbeiter haben, die auch alte Systeme schnell aktualisieren und pflegen können. Dazu müssen die Hersteller aber auch Updates anbieten, solange irgendwo noch ein Alt-System läuft. Und letztlich fehlen auch Kommunikationswege, damit Nutzer auch sicher von verfügbaren Updates erfahren. Und selbst wenn dieses Zusammenspiel irgendwann klappt, es hilft alles nichts, wenn befreundete Geheimdienste Systemlücken über Jahre kennen und ausnutzen – und dann zu blöd sind, das geheime Wissen auch geheim zu halten.

Für die NSA war die von WannaCry genutzte Lücke nur deshalb so interessant, weil es Millionen von Rechnern auf der ganzen Welt gibt, die sie damit kontrollieren konnte. Wäre Windows auf Heim- und Office-Rechnern nicht so extrem verbreitet, dann hätte WannaCry einfach keine vernünftige Zielgruppe gefunden. Nicht umsonst baut man in kritischen Infrastrukturen gerne mal zwei Firewalls unterschiedlicher Hersteller hintereinander, um die Lücken des einen beim anderen abzufedern.

Vielleicht hätten wir also vor knapp 30 Jahren schon die Weichen stellen müssen und statt auf Windows lieber auf WEGA setzen sollen, dem OS aus den Elektro-Apparate-Werken Berlin-Treptow in der damaligen DDR. Da hätte WannaCry bei uns keine Chance gehabt und wir hätten vielleicht nur auf den Anzeigetafeln der französischen oder italienischen Eisenbahn Fehlermeldungen über verschlüsselte Computer gesehen – während die Anzeigen der Deutschen Bahn weiterhin nur die altbekannten Störungsmeldungen über verspätete Züge angezeigt hätten.

Unser Gastautor

Tobias Schrödel ist bekannt durch seine Fernsehbeiträge zu Stern TV und seine Live-Vorträge über die dunkle Seite der Computertechnologie. Auf der Bühne und in seinen Büchern erklärt er technische Systemlücken und Zusammenhänge für jeden verständlich und lässt dabei auch den Spaß nicht zu kurz kommen. In seinem Blog schreibt er regelmäßig über neue Technik-Themen: Verständlich und stets mit einem Augenzwinkern.

 

 Bildquelle:© psdesign1 - Fotolia.com


Lesen Sie auch

Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.

Kommentare