Die Zunahme von Erpressungs-Trojanern wie WannaCry zeigt, dass die groß angelegte „Nationale Strategie zum Schutz der Informationsinfrastrukturen“ kaum durchführbar ist, solange in den Großunternehmen eine Kultur herrscht, die elementare Sicherheitsanforderungen auf die lange Bank schiebt.

Wana-Decrypt0r-Screenshot

Wie sicher sind kritische Infrastrkturen?

Vor nunmehr 12 Jahren beschloss die Bundesregierung eine „Nationale Strategie zum Schutz der Informationsinfrastrukturen„.
Ich vermag nicht zu beurteilen, was seitdem unternommen wurde um kritische Infrastrukturen, wie Energieversorgung, Wasserwerke, Datennetzwerke und Verkehrsinfrastruktur entsprechend abzusichern. Man weiß ja, dass die Mühlen der Behörden mitunter langsam mahlen. Allzu viel scheint dabei bislang nicht herausgekommen zu sein.

WannaCry konnte Unternehmen mit zentraler Bedeutung für die öffentliche Infrastruktur ohne Mühe erfolgreich angreifen. Betroffen waren zum Beispiel:

• Die spanische Telefónica
• Die Deutsche Bahn
• diverse Krankenhäuser in Großbritannien

Es mag sein, dass die Ausfälle von den Bürgern zum Teil eher als Unannehmlichkeiten wahrgenommen wurden und nicht als echte Bedrohung. Aber durch die zunehmende Vernetzung und das Internet of Things wird die Einstufung der Kritikalität zunehmend schwieger ..

Natürlich hängen keine Beatmungsapparate an öffentlichen Netzwerken. Man kann auch davon ausgehen, dass Betriebssysteme und sonstige Software dieser lebenswichtigen Geräge ausreichend auditiert werden. Aber es reicht ja schon, wenn die Aufnahme und Behandlung von ernsthaft erkrankten Patienten durch WannaCry verzögert und erschwert wurde. Wenn der PC in der Notaufnahme streikt ist die Abgrenzung von „kritischer“ gegenüber „weniger kritischer“ Infrastruktur rein theoretisch.

Der doppelte Skandal

Man kann es zu recht als Skandal einstufen, dass die NSA die Hintertür geschaffen hat, durch die der Wurm sich weiter verbreiten konnte.

Despite warnings, @NSAGov built dangerous attack tools that could target Western software. Today we see the cost: https://t.co/u6J3bcHnXE

— Edward Snowden (@Snowden) May 12, 2017

Ein weiterer Skandal passiert jedoch täglich unbeachtet offenbar auch in großen Unternehmen. Dort werden die simpelsten Prinzipien der IT-Sicherheit offenbar mit Füßen getreten. Es gibt keine externen Kontrollinstanzen, die ein sauberes Arbeiten erzwingen. Daher werden Prozesse (und seien sie noch so kritisch) verschleppt, verzögert, verdrängt.

Dabei muss man wirklich kein Experte sein, um zu wissen, was gegen Ransomware hilft. Neben einfachen Regeln der Datensicherheit (nicht jeden Mailanhang aufrufen) hilft vor allem das Einspielen der neusten Sicherheitsupdates.

Das entsprechende Sicherheitsupdate MS17-010, das die längst bekannt gewordene Lücke stopft stand seit März zur Verfügung. Jeder Heimanwender hat bei einem ordentlcih konfigurierten Windows die Updates längst automatisch installiert. Dahingegen ist der Rollout eines Patches bei großen Unternhmen offenbar immer noch ein manueller Prozess. Zumindest scheint es ein Prozess zu sein, der nur mit erheblicher Verzögerung stattfindet. Nur so ist es zu erklären, dass es den IT-Abteilungen großer Unternehmen auch nach auch zwei Monate nach Veröffentlichung nicht möglich war, den Patch auszurollen.

Weckruf oder Schlummer-Taste?

Man kann von Glück sagen, dass der Erpressungstrojaner (wie schon einige Vorgänger) durch schlampige Programmierung und eher durch Zufall relativ frühzeitig ausgebremst werden konnten. Nicht auszudenken, welche Verbreitung diese neuartige Kombination von Ransomware und Wurm ansonsten erlangt hätte, wenn sie noch einige Stunden oder Tage länger aktiv gewesen wäre.

Man könnte es als „Weckruf“ bezeichnen, allerdings gab es von diesen Weckrufen schon einige und sie haben bislang nicht dazu geführt, dass es zu einem Umdenken kam. Der Siegeszug der Ransomware hat gerade erst begonnen und der nächste Erpressungstrojaner wird sich nicht wieder durch einen einfachen Killswitch ausschalten lassen. Zumindest soltle man sich darauf nicht verlassen!