Seit Tagen sorgt der Erpressungstrojaner “Wannacry” für Schlagzeilen. Befallene Rechner werden verschlüsselt um per Bitcoin-Zahlung Lösegeld zu erpressen. Die benutze Sicherheitslücke in Windows-Betriebssystemen war den amerikanischen Sicherheitsbehörden offenbar schon seit Jahren bekannt. Doch sie haben sie lieber für eigene, staatliche Hacker-Angriffe genutzt statt die IT-Sicherheit von Millionen Menschen weltweit zu schützen. Ein Kommentar für den Deutschlandfunk, gesendet am 21. Mai 2017.
Es ist ein Horrorszenario: Kriminelle greifen gezielt die verwundbarsten Stellen unserer immer stärker vernetzen Computer-Infrastruktur an, und bringen so nach und nach ein System nach dem anderen zum Zusammenbruch. Telefonnetze, Ampeln, Flugraum-Überwachung, Stromnetze. Vielleicht sogar die Sicherheitssysteme in Atomkraftwerken. Die Folgen wäre kaum auszudenken, und sie sind Stoff für einen gruseligen Endzeit-Thriller.
Selbst Computer in Krankenhäusern betroffen
Ganz so schlimm war die Angriffswelle des Erpressungs-Trojaners „Wannacry“ zum Glück nicht. Der Angriff der Cyber-Erpresser hat trotzdem ein Gefühl für die Verwundbarkeit unserer vernetzten Gesellschaft gegeben. Weltweit wurden hunderttausende Computer befallen. Große Firmen wie Nissan, Renault Telefonica waren betroffen. Für eindrucksvolle Bilder sorgte auch die Deutsche Bahn. Auf den Anzeigetafeln in manchen Bahnhöfen prangte groß das rote Fenster mit der Lösegeld-Forderung der Cyber-Erpresser.
Vor allem aber der Ausfall von hunderten Krankenhaus-Rechnern in Großbritannien hat den Angriff zur eindrucksvollen Werbung für mehr Computersicherheit gemacht. Denn wenn im Krankhaus die Ärzte nicht mehr auf ihre längst vollvernetzten Geräte oder die digitale Krankenakte zugreifen können – dann kann das im schlimmsten Fall Menschenleben kosten.
Kleine Fehler im Programm-Code können Millionen Rechner gefährden
Fast unbemerkt haben sich die Glasfaser-Kabel der weltweiten Datennetze zu Lebensadern unserer modernen Gesellschaft entwickelt. Dadurch hat sich die Verwundbarkeit deutlich erhöht.
Schließlich steckt in fast jedem elektronischen Gerät inzwischen ein kleiner Computer. Doch egal welches System auf dem Laptop, dem Tablet-Computer oder dem Röntgen-Gerät im Krankenhaus läuft: Es hat Fehler. Ein Betriebssystem besteht aus Millionen Zeilen von Programmcode. Eine Änderung an einer kleinen Unterfunktion eines vermeintlich nebensächlichen Programms kann schnell dazu führen, dass an einer anderen Stelle des Betriebssystems eine gefährliche Sicherheitslücke entsteht.
Diese Sicherheitslücken rechtzeitig zu entdecken, bevor sie von Kriminellen ausgenutzt werden – dass ist die Sisyphos-Aufgabe, der sich Software-Hersteller, Computer-Sicherheitsfirmen und viele Hobby-Hacker verschrieben haben.
Eigentlich sollten hier auch staatliche Stellen mit im Boot sein und jede entdecke Sicherheitslücken so schnell wie möglich an den Hersteller der Programme melden. Der könnte dann mit einem Sicherheits-Update Abhilfe schaffen und alle Computer wären etwas sicherer.
US-Geheimdienst kannte Sicherheitslücke seit Jahren
Doch in der Praxis läuft es bisher anders. Sicherheitspolitiker von SPD und Union fordern zwar lauthals einen verstärkten Kampf für mehr Cybersicherheit. Gleichzeitig sollen BKA, Geheimdienste und andere Sicherheitsbehörden aber in Computer einbrechen dürfen und können. Das Problem dabei: In den meisten Fällen setzten auch die staatliche Hacker dabei auf Sicherheitslücken, um in fremde Computer einzubrechen. Die Macher des Bundestrojaners und vergleichbarer Programme anderer Staaten suchen und sammeln regelrecht gefährliche Sicherheitslücken – statt sie so schnell wie möglich vom Hersteller der Software schließen zu lassen.
Genau das ist im aktuellen Fall passiert: Der amerikanische Geheimdienst NSA kannte die Lücke, die sich seit vielen Jahren in einem Server-Protokoll vieler Windows-Betriebssysteme versteckt hält. Doch statt sie zu stopfen, haben die staatlichen Hacker ein Programm entwickeln lassen, um darüber fremde Computer zu kapern.
Es fällt schwer, hier überhaupt noch von „Sicherheitsbehörden“ zu sprechen. Wer Cyberangriffe auf die Computer von Millionen von Bürgern, auf Firmen und Krankenhäuser billigend in Kauf nimmt – der hat diesen Begriff schlicht und einfach nicht verdient. Da mögen die Ziele wie der Kampf gegen Kinderpornographie oder den internationalen Terror noch so edel sein.
Immerhin: Der Angriff des „WannaCry“-Erpessungs-Trojaners ist trotz allem vergleichsweise glimpflich abgelaufen – auch weil die Kriminellen selbst Programmierfehler gemacht haben. Doch der nächste Angriff kommt bestimmt. Vielleicht von windigeren Geistern – oder aber wirklichen Cyberterroristen. Um solche Angreifer wirksam abzuwehren sollten auch deutsche Geheimdienste und das BKA mit ganzer Kraft für Cybersicherheit kämpfen, anstatt selbst mit Bundestrojanern und anderen Hackerwerkzeugen zu hantieren.