WannaCry: Globaler Ransomware-Angriff liegt in der Verantwortung der Unsicherheitsdienste

Neben der Monokultur des Betriebssysteme und der Nachlässigkeit der Nutzer sorgt mangelnde internationale Kooperation aufgrund von Cyberwar-Aktivitäten der Geheimdienste und Militärs für offene Türen

Nachdem auch Russland und China zu Opfern des Erpressungstrojaners WannaCry (WanaDecrypt0r 2.0) wurden, der sich am Freitag weltweit ausgebreitet hat und sich als Wurm durch die ungeschützten Windowsrechner frisst, wurde der übliche Verdacht nicht geäußert, eines der beiden Länder stehe dahinter. Umgekehrt gerieten nicht nur die Microsoft-Monokultur und unvorsichtige Nutzer in die Kritik, sondern auch der amerikanische Geheimdienst NSA, der eine Sicherheitslücke in Microsoft Windows entdeckte und für sich offen lassen wollte. Nicht nur Verschwörungstheoretiker könnten auch vermuten, dass es sich vielleicht auch um eine Hintertür handeln könnte (NSA-Dokumente enthüllen die Zusammenarbeit von Microsoft mit der NSA) .

WikiLeaks hat, nebenbei gesagt, gerade im Rahmen der CIA Vault 7 Leaks mit "AfterMidnight" und "Assassin" wieder zwei Programme der CIA herausgestellt, die Windows-Rechner infizieren, was noch einmal die Gefährdung der weltweiten Vernetzung durch die Geheimdienste als Unsicherheitsdienste aufzeigt.

Nur zufällig fand ein 22-jähriger Brite - nicht die NSA oder Microsoft - einen "kill switch", den die Hersteller des Erpressungswurms vermutlich selbst eingebaut hatten, um die weitere Verbreitung stoppen zu können. Er registrierte eine im Code eingebaute Internetadresse, an die der Trojaner einen Request sendet. Kommt eine Antwort, wird die Verbreitung unterbrochen. Angeblich hat der Trojaner weltweit zwar großen Schaden angerichtet, viel Geld scheint er dem digitalen Erpresser oder den Erpressern bislang nicht eingebracht zu haben. Aufgetaucht sind mittlerweile Varianten, die den Request nicht mehr an die bekannte Adresse schicken bzw. keinen "kill switch" besitzen oder andere Internetadressen verwenden.

Bislang ist man dem Entwickler und Aussender auch noch nicht auf die Spur gekommen, der seine Spuren wie üblich verschleiert hat. Ähnlich gehen die für Hackerangriffe Verantwortlichen auch vor. Spuren, die sie hinterlassen, müssen nicht auf sie verweisen, sondern können auch gelegt sein. Daher ist weiterhin zweifelhaft, ob tatsächlich eine russischer Hackergruppe für die Angriffe auf das Macron-Team oder die Rechner der Demokratischen Partei in den USA verantwortlich war, noch viel mehr, ob diese im Auftrag des Kremls handelte. Hier will man vor allem politisch einen Verantwortlich ausmachen, man wird nun sehen, ob die vereinte Kraft der Geheimdienste und Sicherheitsfirmen nun in der Lage sind, mit haltbaren forensischen Mitteln den oder die Täter zu identifizieren, da man in diesem Fall davon ausgehen kann, dass es sich um Cyberkriminelle ohne jeden politischen Hintergrund handelt (wenn man nicht spekuliert, dass mit der Aktion die Machenschaften der NSA herausgestellt werden sollten).

Deutlich wird an dem Fall, dass das Aufspüren der Täter, wenn sie einigermaßen geschickt sind, kaum möglich sein wird. Das ist auch die Crux an der digitalen Aufrüstung zum Cyberwar und an Drohungen, wie sie unlängst auch von Deutschland kamen, bei Cyberangriffen zurückzuschlagen. Im Prinzip müssten weltweit die für Cybersicherheit zuständigen Behörden und die Geheimdienste kooperieren, um die Täter hinter der Ransomware-Attacke aufzuspüren. Derzeit ist eine solche Kooperation etwa zwischen den USA, Russland und China kaum denkbar.

Als internationale Plattform zur Bekämpfung von Cyberkriminalität, die sich zumindest in der Wahl der Waffen, wie sich an dem Fall zeigt, mit Cyberwar- und anderen Cyberoperationen der Geheimdienste und militärischen Cyberkommandos überschneidet, gibt es praktisch nur das Übereinkommen über Computerkriminalität (Budapest Convention) des Europarats. Ratifiziert haben das 2001 in Kraft getretene und seinerzeit umstrittene Abkommen (Die Cybercrime Convention - Ist noch was zu retten?) nur europäische Länder (abgesehen von Irland, Schweden, San Marino) und neben den USA und Japan einige kleinere außereuropäische Länder, nicht aber Russland, China, Israel, Iran, Nordkorea etc. Inhalt des Abkommens ist neben der vorgesehenen Vorratsdatenspeicherung und dem Zwang zur Herausgabe von verschlüsselten Daten auch, dass Strafverfolgungsbehörden auch grenzüberschreitend Zugriff haben:

Artikel 32 -Grenzüberschreitender Zugriff auf gespeicherte Computerdaten mit Zustimmung oder wenn diese öffentlich zugänglich sind

Eine Vertragspartei darf ohne die Genehmigung einer anderen Vertragspartei

a) auf öffentlich zugängliche gespeicherte Computerdaten (offene Quellen) zugreifen, gleichviel, wo sich die Daten geographisch befinden, oder

b) auf gespeicherte Computerdaten, die sich im Hoheitsgebiet einer anderen Vertragspartei befinden, mittels eines Computersystems in ihrem Hoheitsgebiet zugreifen oder diese Daten empfangen, wenn sie die rechtmäßige und freiwillige Zustimmung der Person einholt, die rechtmäßig befugt ist, die Daten mittels dieses Computersystems an sie weiterzugeben.

Das ist gewissermaßen ein Freibrief auch für die Geheimdienste, in fremden Netzen zu wühlen. Daneben gibt es noch als internationale Polizeiorganisation Interpol, aber hiervon kann kaum Unterstützung erwartet werden, zumal wenn sich staatliche Akteure hinter Angriffen verbergen sollten.

Ein Insider im Hintergrund?

Untersucht werden jetzt die Spuren, die die Angreifer auf ihren Emails hinterlassen haben. Vermutet wurde schon mal, dass sie womöglich aus China stammen könnten, weil der Text besser auf Mandarin als auf Englisch formuliert worden sei. Ansonsten wird man sich im Dark Web umhören, denn auch die Zurückverfolgung von BitCoins ist extrem schwierig. Bekanntlich verlangen die Erpresser Zahlungen mit der dezentral organisierten Kryptowährung BitCoin auf ein eingerichtetes Konto.

Die New York Times zitiert einen US-Regierungsmitarbeiter, der sagte, der Angriff sei kompliziert zu lösen, da schon der Code aus vielen Orten und Quellen zusammengestellt sei, was eine Identifizierung nicht nur der Täter, sondern auch bereits des Herkunftslandes erschwert. Pikant ist, dass womöglich noch weitere Schadprogramme aus dem Arsenal der NSA in Umlauf geraten könnten, da WannaCry nur auf einer der Sicherheitslücken der NSA basiert, die ShadowBrockers seit letztem Jahr besitzt und, nachdem der Kauf offenbar nicht gut funktionierte, seit April anbietet - mit Kritik an Donald Trump, von dem man enttäuscht sei.

Wer die Cyberwaffe der NSA geleakt hat, ist unbekannt, es könnte sich um einen Insider handeln, wie dies auch Edward Snowden gewesen ist. Die NSA hat mindestens 40.000 Mitarbeiter und viele Contractors, von denen sich manche mitunter nebenher ein wenig Geld verdienen mögen, sie engagiert auch Hacker oder kauft auf dem Schwarzmarkt ein.