WannaCry und der lasche Umgang mit IT-Sicherheit

Trojaner einschleusen, um im großen Stil „Lösegeld“ zu kassieren? Klingt erstmal nach einem schlecht durchdachten B-Movie mit sechs verschiedenen Drehbuchautoren, die alle irgendwann gefeuert wurden. Ist leider durch WannaCry Realität geworden und im Endeffekt deutlich ernster, als es bei oberflächlicher Betrachtung den Eindruck macht.

Die Schadsoftware WannaCry befiel nämlich nicht nur Privatrechner und die selten wohl gelittene Deutsche Bahn, sondern unter anderem auch gut ein Fünftel der Rechner der britischen Gesundheitsbehörde NHS. Daraufhin mussten Operationen abgesagt und an die Bürger appelliert werden, nur noch bei „wirklich dringenden Fällen“ die Notaufnahmen der Krankenhäuser aufzusuchen. Nun sollte man das selbstredend sowieso nur in wirklich dringenden Fällen tun, die Reaktion der Behörde zeigt aber auch, wie hilflos sie letztendlich den Erpressern ausgeliefert war. Man muss nicht sehr viel weiter denken, bis man versteht, was es im Umkehrschluss heißen würde, wenn diese oder andere Erpresser wirklich ernst machen würden. Zu viel „hängt“ heute im wahrsten Sinne des Wortes am Internet. Viel zu viel um es ungeschützt zu lassen.

Aber der Reihe nach: WannaCry befiel am 12. Mai mehrere hunderttausend Rechner weltweit, die noch mit dem Betriebssystem Windows XP arbeiten und unterband jegliche Funktionen auf den Computern. Stattdessen forderte eine Meldung die Nutzer dazu auf, zwischen umgerechnet 300 bis 600 Euro in der Onlinewährung Bitcoin zu zahlen. Andernfalls würden sämtliche Inhalte der Computer gelöscht werden. Diese Drohung bekamen nicht nur Privatpersonen, sondern auch Konzerne und Organisationen wie Renault in Frankreich, FedEx in den USA, Telefonica in Spanien oder eben besagte NHS in Großbritannien und die Deutsche Bahn. Der französische Autobauer gab bekannt, dass zumindest eines seiner Werke für einen Tag geschlossen bleiben musste. Die Bahn konnte vielfach nur noch manuell Verbindungsinformationen in den Bahnhöfen bereitstellen.

Gezahlt haben bisher offenbar nur einige hundert Betroffene. Ob die Erpresser ihr Versprechen daraufhin wahr gemacht und die Rechner wieder freigegeben haben, lässt sich noch nicht sagen. (Noch) Schlimmeres konnte offenbar abgewendet werden, als ein englischer IT-Experte mehr oder minder auf gut Glück eine im Code versteckte Domain registrierte und so eine noch größere Ausweitung des Trojaners verhinderte. Wie gesagt: es klingt alles ein bisschen unwirklich.

Wie groß der Schaden nun tatsächlich ist, wird sich zeigen müssen. Für den deutschen Raum war dieser Trojaner wohl vor allem ein Schuss vor den Bug. Bleibende Schäden werden derzeit nicht erwartet. Man kann nur hoffen, dass dieser Weckruf saß und das Thema Computersicherheit deutlich in den Fokus rückt. In der Pflicht sind dabei alle: Sicherheitsdienste, die Erkenntnisse nicht weitergeben, Soft- und Hardware-Hersteller, aber natürlich auch die eigentlichen Anwender, die ihre Systeme auf dem neuesten Stand halten müssen. Fände hier ein Umdenken statt, hätte dieser Angriff zumindest einen kleinen positiven Nebeneffekt und bliebe eine letzte Warnung um fünf vor zwölf.