Nach der weltweiten Ransomwareattacke mit „WannaCry“ werden sicherheitspolitische Forderungen nach häufigen Backups und Updates laut. Dabei wird die Kritik an der eigentlichen Herkunft der Schadsoftware seitens der Politik zumeist ausgeklammert.

Aufgrund der starken Vernetzung kritischer Infrastrukturen, öffentlicher Verwaltung und privater Telekommunikationsunternehmen genießt das Thema Cyber-Sicherheit einen enorm hohen Stellenwert – schließlich geht es nicht nur um den Schutz sensibler Daten, sondern auch um das Funktionieren gesellschaftsrelevanter Bereiche des Zusammenlebens.

Die Cyber-Sicherheitsstrategie der Bundesregierung sieht den Schutz Kritischer Informationsinfrastrukturen, sichere IT-Systeme in Deutschland und die Stärkung der IT-Sicherheit in der öffentlichen Verwaltung als oberste Zielsetzungen. Die zentrale IT-Sicherheitsbehörde des Bundes, das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert dabei die Gefahrenlage. Als Bedrohungsszenarien werden neben DDOS-Angriffen, die gezielt Systeme überlasten oder einschränken, auch das Aufspielen von Schadsoftware und die Verwendung von Spionagemethoden benannt. Doch wie wahrscheinlich sind diese Szenarien im Rahmen von großangelegten Cyberangriffen?

Ransomware als Gefahr für kritische Infrastrukturen

Seit letztem Freitag gibt es einen neuen Präzedenzfall von internationaler Reichweite, der klar macht, wie fragil die vermeintlichen Sicherheitsstrukturen sein können. Die Ransomware „WannaCry“, ein Kryptotrojaner, der auf betroffenen Computersystemen Daten verschlüsselt, hat sich in Windeseile weltweit in 150 Ländern auf über 220.000 Rechnern ausgebreitet. Opfer werden dazu genötigt, den Erpressern Geldbeträge in Bitcoins zu überweisen – andernfalls werden ihre Daten gelöscht.

Im Gegensatz zu anderer Ransomware wie etwa „Locky“, der letztes Jahr durch das Internet wütete, verbreitet sich „WannaCry“ von einem infizierten Computer auf andere erreichbare Windows-Systeme. Während sich in Deutschland die Schäden bei der Deutschen Bahn und anderen Unternehmen in Grenzen halten, ist der National Health Service in Großbritannien empfindlich getroffen worden. Viele medizinische Daten standen über das Wochenende nicht mehr zur Verfügung und Patienten  mussten verlegt werden oder nach Hause gehen. Auch andere Länder wie die Schweiz, Frankreich, die USA, Schweden und Portugal sind betroffen. Ob es sich bei den Angreifern wirklich um Cyberkriminelle aus Nordkorea handelt, wie die New York Times titelt, ist zurzeit noch völlig unklar.

Allerdings gibt es bereits jetzt Forderungen, für größere Sicherheit und ein besseres Krisenmanagement zu sorgen. Neben den allgemeinen Empfehlungen an Verbraucher, Systeme durch Updates auf den neusten Stand der Technik zu bringen und mittels regelmäßiger Backups abzusichern, kommt auch die Politik zu Wort: Bundesverkehrsminister Alexander Dobrindt fordert Nachbesserungen am IT-Sicherheitsgesetz und die sofortige Meldung von Störungen an das BSI. Innenminister Thomas de Maizière hat bereits letztes Jahr in einem Gastbeitrag auf SPIEGEL Online mehr Koordination, „praktische Hilfe durch mobile Einsatzkräfte“ und eine stärkere Zusammenarbeit zwischen Staat und Wirtschaft gefordert. Entscheidend für de Maiziere ist dabei ein „vernünftiger Austausch von Informationen“.

Sicherheit durch Käufe auf dem Schwarzmarkt?

Doch gerade im Informationsaustausch liegt ein Problem, das momentan kaum thematisiert wird. Grundlage für „WannaCry“ ist eine Sicherheitslücke in der Windows-Dateifreigabe, die aus dem Exploits-Kanon der NSA stammt und von der Hackergruppe „The Shadow Brokers“ veröffentlicht wurde. Exploits bezeichnen Schwachstellen in Programmen, die bei der Entwicklung nicht berücksichtigt wurden. Besonders tückisch sind Zero-Day-Exploits, durch die Angreifer Sicherheitslücken nutzen, bevor überhaupt ein Patch dagegen programmiert wurde. Zero-Day-Exploits von noch unbekannten Schwachstellen in weit verbreiten Programmen können auf dem Schwarzmarkt mehrere tausend US-Dollar kosten. Auch die Geheimdienste kaufen diese Exploits munter auf, ohne die jeweiligen Unternehmen über diese Schwachstellen in ihrer Software zu informieren.

Im Jahr 2014 wurde bekannt, dass der BND unter der „Strategischen Initiative Technik“ für bis zu 4,5 Millionen Euro gezielt Softwareschwachstellen aus dem Dark Web aufkaufen wollte. Schon damals kritisierte der Chaos Computer Club, dass der Schwarzmarkt durch solche, mit Steuergeldern finanzierten dubiosen Geschäfte noch zusätzlich angeheizt werde und dies erhebliche Folgekosten für die deutsche Wirtschaft habe.

Mass Surveillance vs. Strategical Surveillance

Während der BND Exploits aufkauft, kann die NSA ihren Jahresetat von über 10 Milliarden US-Dollar unter anderem dazu nutzen, mit Hilfe von staatlichen Hackern selbst im großen Stil Späh- und Schadsoftware zu programmieren. Der Exploit EternalBlue, welcher der Ransomware „WannaCry“ zugrunde liegt, kommt aus dem Portfolio der NSA-internen Equation Group – eine Gruppe von Elitehackern. Von dieser Gruppe wird auch angenommen, dass sie an dem Stuxnet-Wurm, der gezielt programmiert wurde, um die Leittechnik von Urananreicherungsanlagen im Iran anzugreifen, mitgewirkt habe. In einem Artikel der US-Today von 2013 hat die damalige Senatorin Dianne Feinstein das massenhafte Abgreifen und Speichern von Daten mit der Terrorbekämpfung und der nationalen Sicherheit gerechtfertigt – ein Motiv, das sich als Todschlagargument in allen Debatten um Cyber-Security finden lässt. Schon damals sagte sie, die Mass Surveillance-Methoden der digitalen Überwachung seien legitim, um „die Nadel im Heuhaufen zu finden“.  Die dahinterstehende Logik, dass der Heuhaufen noch um ein Vielfaches vergrößert werden muss, wenn die Nadel nicht gefunden werden kann, erschließt sich allerdings nicht. Hinzu kommt, dass wir an Phänomenen wie „WannaCry“ erkennen können, dass die ungezügelte Datensammelwut der Geheimdienste über zweifelhafte oder gar unrechtliche Methoden nicht zu mehr Sicherheit führt, sondern vielmehr gegenteilig wirkt.

Der Leak durch die Shadow Broker ist dabei kein Einzelfall. Auch die Enthüllungen durch Edward Snowden oder der Diebstahl streng geheimer Dokumente durch den NSA-Kontraktor Harold Thomas Martin III  zeigen, dass sich immer wieder große Sicherheitslücken bei den Geheimdiensten auftun. Selbst wenn ihr Sicherheitsauftrag legitim ist, scheint eine Strategical Surveillance, die bei der Datensammlung auf Indizien statt auf Massenspeicherung setzt, eher dem rechtsstaatlichen Charakter einer modernen Demokratie zu entsprechen. Obendrein hilft sie durch mehr Kontrollen, auch Unsicherheiten, wie sie durch „WannaCry“ verursacht wurden, zu vermeiden. In diese Richtung zielt auch die Kritik von Linus Neumann vom Chaos Computer Club, der die fünfjährige Schweigsamkeit der NSA über die Sicherheitslücke als absolute Verantwortungslosigkeit wertet.  Nicht umsonst hat der US-Senator Frank Church im Jahr 1975 davor gewarnt, dass die Möglichkeiten der Geheimdienste einer Diktatur in die Hände spielen würden, sollte das demokratische System jemals einstürzen. Er folgerte, dass wenn es keine Privatsphäre mehr gebe, jede Form von Widerstand im Keim erstickt werden könne.  Church forderte daher eine stärkere parlamentarische Regulierung der amerikanischen Geheimdienste, die in dem Foreign Intelligence Surveillance Act ihre Umsetzung fand. Ironischerweise bilden eben die Erweiterung dieses Gesetzes die Grundlage für die späteren Ausspähprogramme der NSA.

 

Titelbild: Encrypted via pixabay, CC0 Public Domain

CC-Lizenz-630x1101