Momentan ist die Presse voll mit Meldungen zur WannaCry-Ransomware. In Kürze: Die initiale Infektion muss durch einen Nutzer erfolgen (zB ausführen eines Dateianhangs einer E-Mail). Eine neu entdeckte Sicherheitslücke erlaubt jetzt den Zugriff auf alle Rechner im selben Netzwerk. Diese Lücke ist so groß, dass sich die Infektion schnell auf alle anderen vernetzen Rechner ausbreiten kann. Ohne das zutun von Nutzern!  Sobald ein betroffenes System infiziert ist, werden wichtige Dokumente und Dateien verschlüsselt. Die Autoren erpressen dann die Nutzer, für Geld die Dateien wieder herzustellen. Soweit, so gut.

Weiter lesen? Klicke die Headline um den ganzen Artikel zu sehen!

Die Lücke

Die verwendete Lücke ist im Netzwerkprotokoll SMB zu finden. Dieses in 1996 von Microsoft bereits in Windows eingeführte Protokoll hat offenbar eine lange unentdeckte Sicherheitslücke, die es dem Angreifer erlaubt auf jedem Rechner, der dieses Protokoll als Host verwendet, beliebige Dateien anzulegen und diese auch auszuführen. Die Lücke klafft auf allen Windows-Rechnern (ab Windows XP). Nach neuesten Erkenntnissen aber auch vergleichbar auf Linux- und Unix-Systemen welche die Software SAMBA verwenden, um ebenfalls das SMB-Protokoll zu unterstützen.

Was fehlt?

Was es nicht so direkt in die Presse geschafft hat, sind drei Fakten zu dieser Lücke die mir wirklich Sorgen machen:

  1. Der US-amerikanische Auslandsgeheimdienst NSA nutzte diese Lücke über mehr als fünf Jahre, ohne Microsoft über sie zu informieren. Das bedeutet, das Risiko dieser Lücke wurde bewusst in Kauf genommen um eigene nationale Interessen der USA umzusetzen.
  2. Auch Linux-Systeme sind betroffen (Linux ist das weltweit meist verbreitete Server-Betriebssystem).
  3. Das Risiko ist höher als überall beschrieben. Ransomware war noch das beste was uns passieren konnte. Sozusagen der "Best-Case".

Warum war WannaCry der "Best-Case"? Ich erklär Euch mal den "Worst-Case".

Der Worst-Case

Im Worst-Case hätten nicht geldgierige Verbrecher die Lücke ausgenutzt, sondern idealistische oder anderweitig verblendete Profis. Wie hätte der Angriff dann ausgesehen?

  • Statt die befallenen Rechner zu verschlüsseln, hätte man einfach erstmal "nichts" getan. Die Infektion wäre also unbemerkt geblieben.
  • Die Infektion hätte sich unbemerkt auf einen Großteil der Rechner (Privat und Organisationen) ausgebreitet.
  • Der Virus hätte eine Datumsangabe verwendet. Also zu einem ganz bestimmten Zeitpunkt wäre er dann erst mit seiner Schadroutine aktiv geworden (zB 01. Juni 2017, 08:00 Uhr morgens, UTC+0).
  • Er hätte einfach alle Daten auf den Laufwerken mit zufälligen Daten überschrieben (macht eine Wiederherstellung schwierig). Und zwar erst die Dokumente und dann erst zum Schluss die Betriebssystem-Dateien.

Resultat: Zum gewählten Zeitpunkt wären auf der ganzen Welt Millionen Systeme gleichzeitig ausgefallen (Server und Desktop-Systeme). Eine Kommunikation mit anderen betroffenen wäre, auf Grund der hohen Beeinträchtigung der Kommunikationssysteme, vermutlich erschwert. Es würde Tage oder gar Wochen dauern, bis eine neue Grund-Infrastruktur aufgebaut wäre. Die Welt-Wirtschaft hätte größten Schaden erlitten.

Das ist der "Dooms-Day". Wenn schon ein simpler Stromausfall zu HamsterkäufenPlünderungen und Einbrüchen führt, was passiert in so einem Szenario? Darüber will man besser nicht nachdenken. Aber es gibt Menschen die müssen darüber nachdenken. Politiker, Polizei, Zivilschutzbeauftragte und natürlich die IT-Verantwortlichen. Bleibt nur zu hoffen, dass in Zukunft keine solch gravierenden Lücken in die noch falscheren Hände gelangen.

Schutz?

Nö, nur schwer. Es wird immer Leute geben die auf eine angebliche Rechnung oder ein vermeintliches Nacktbild eines Superstars klicken. Und die werden weiterhin jede Warnmeldung weg-klicken, weil Sie das ja jetzt sehen wollen. Und wer weiß, die nächste Lücke benötigt vielleicht ja gar kein menschliches Zutun mehr?

Eine Menge an Unternehmen preisen jetzt ihre Sicherheitstechnologie an. Mit diesem Virenscanner, jener Firewall und diesem Super-Tool wäre das nicht passiert. Von wegen! Der Kampf gegen diese Sorte Software ist längst verloren. Schon 2014 erklärte Symantec Antivirus-Software für Tod und ein Ex-Firefox-Entwickler rät im Januar 2017 sogar zur De-Installation von AV-Software. [UPDATE 01.06.2017]Sagt auch Googles Senior Security Engineer[/UPDATE] Und es sind reihenweise Unternehmen und Personen von WannaCry betroffen, obwohl sie alle diese Tools einsetzen. Ein Patentrezept hab ich nicht. Einen Rat kann ich aber geben:

Backups machen und vom Netz trennen

Wie man das macht? Okay, Kurzanleitung: Backups auf zB USB-Platten machen. Die liegen idealerweise nach dem Backup ohne Strom im Tresor oder Schrank. Zumindest einmal die Woche ausgeführt kann das den schlimmsten Schaden verhindern. Ist aber auch ohne Sicherheitslücken eine gute Idee :-)