Kommentar zu WannaCry: Staatliche Dienste müssen Erkenntnisse teilen

Der Krypto-Trojaner WannaCry wird nicht der letzte sein. Aber es ist beschämend, dass Anwender und die Software-Anbieter daraus nicht lernen – und auch die Geheimdienste tragen Verantwortung, meint Michael Link

In Pocket speichern vorlesen Druckansicht 371 Kommentare lesen
Hacker-Angriff

(Bild: dpa, Jim Lo Scalzo)

Lesezeit: 3 Min.
Von
  • Michael Link

Es ist also schon wieder passiert: Ein Krypto-Trojaner namens WannaCry kapert Rechner, blockiert Anzeigetafeln der Bahn und sorgt dafür, dass britische Patienten von Krankenhäusern abgewiesen werden. Klar, die Schuldigen sind die Erpresser, die Summen zwischen 300 und 600 US-Dollar von ihren Opfern fordern. Aber damit macht man es sich zu einfach, denn dies war nur "dank" fahrlässiger Mithilfe vieler möglich.

Angriff mit Krypto-Trojaner WannaCry

Der Krypto-Trojaner nutzt längst bekannte Einfallstore. Microsoft hat mit der Behäbigkeit eines Flugzeugträgers auf Sicherheitslücken reagiert und erst im März einen Sicherheitspatch geliefert. Wird schon gutgehen? Diesmal nicht. Denn hier kommen die Nutzer ins Spiel: Viele Menschen ignorieren die aktuellen Sicherheitspatches. Wie bei Impfgegnern schadet das nicht nur ihnen selbst, sondern sie erhalten damit die Fortpflanzungsfähigkeit der Ransomware und helfen bei der Verbreitung der digitalen Erpresser.

Sind also die Nutzer schuld? Nein, auch damit macht man es sich zu einfach. Denn viele sind zu Recht genervt von dem, was bei Sicherheitspatches noch so mit ihren Rechnern passiert. So muss man oft Datenschutzfreigaben und mühsam gefundene Voreinstellungen wieder zurückstellen. Aber auch die schiere Größe der Updates macht Probleme für jene Nutzer, die nicht mit einem potenten Breitbandanschluss gesegnet sind.

Immerhin: Wenigstens hat Microsoft außer der Reihe einen Patch für das nicht mehr gepflegte, aber weltweit noch millionenfach eingesetzte Windows XP geliefert. Da muss man sich schon fragen: Wieso sind diese Systeme noch so verbreitet? Auch dafür gibt es viele mögliche Antworten, nicht zuletzt: "Never change a running system!". Warum auswechseln, was funktioniert? Besonders, wenn ein Umstieg auf neuere Betriebssysteme Geld kostet oder dringend benötigte Hardware nur mit Uralt-Betriebssystemen läuft, so wie in vielen Krankenhäusern, wo die Betreiber durch diese Wurschtigkeit nun sogar Menschenleben riskierten.

Was an diesem Fall besonders pikant ist: Den Angriffsweg des Krypto-Trojaners hat sich kein Klischee-Hacker mit Kapuzenpullover im Keller ausgedacht, sondern eine NSA-nahe Gruppe, wenn man den immer weiter präzisierten Enthüllungen der Shadow Brokers glauben darf. Die Geheimdienste ließen also nicht nur dieses Angriffsszenario entwickeln, sie hielten auch die ihnen zugrunde liegenden Sicherheitslücken geheim.

Wenn ein Geheimdienst, der sich die "Sicherheit" des Landes und seiner Bürger auf die Fahnen schreibt, mit solchen Unterlassungen die Sicherheit von Internetnutzern gefährdet, muss man da nicht protestieren? Muss man nicht verlangen, dass Sicherheitslücken, auf die staatliche Stellen stoßen, umgehend öffentlich gemacht werden? Oder zählen die sogenannten Sicherheitsinteressen der Regierungen mehr als echte Computersicherheit für Millionen Bürger?

Am ehesten sollten die Regierenden das Interesse ihrer Bürger (und damit ihrer Wähler) im Auge haben. Wie sehr die Demokratie in Gefahr gerät, wenn die Allgemeinheit das Gefühl bekommt, dass der Staat unter dem Vorwand des Terrorschutzes sogar massive Verbrechen an den Bürgern in Kauf nimmt, das sieht man an Wahlergebnissen in vielen Ländern.

(mil)