Patch me if you can: Gemeinwohl über Finanzinteressen

Als das BSI Anfang März die IT-Bedrohungslage „4/Rot“ ausrief, war es erst das zweite Mal in der dreißigjährigen Geschichte der obersten deutschen IT-Sicherheitsbehörde, dass sie zu diesem drastischen Mittel griff – das erste Mal war anlässlich der Heartbleed-Schwachstelle im Jahr 2014, die in mehrfacher Hinsicht weniger kritisch gewesen war. Insgesamt war die Abhängigkeit von IT damals natürlich noch etwas niedriger als heute. Insbesondere aber war Ransomware noch kein großes Thema und die zu erwartenden Maximalschäden dementsprechend geringer.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf CTO bei der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Ereignisse und allgemeingültige Wahrheiten der Informationssicherheit aus.

Was sich hinter den „Hafnium“ getauften kritischen Lücken in Microsoft Exchange verbirgt und was die möglichen Folgen waren und sind, dazu wurde bereits viel geschrieben. Mindestens genauso interessant ist jedoch, wie die Krise den IT-Betrieb und unseren Blick auf Cyber-Großschadenslagen verändert hat.

Selbsthilfe als letzter Anker

Zunächst waren nämlich die herkömmlichen Verteidigungsstrukturen – IT-Abteilungen, Behörden, Dienstleister – überraschend schnell in die Knie gegangen. Das BSI hat sich (zu Recht) sofort auf den Schutz der Kernkundschaft, also des öffentlichen Sektors, zurückgezogen. Viele Admins machten sich, ausgestattet mit den Patches und Skripten von Microsoft, sofort selbst an die Arbeit, um zu retten oder gar noch zu schützen, was noch zu schützen war. Aber eine Kompromittierung hätte zu dem Zeitpunkt ja längst erfolgt sein können und ist leider alles andere als trivial und jedenfalls nicht vollautomatisch zu erkennen.

Diejenigen, die normalerweise hätten helfen sollen und können – Incident-Response- und andere techniknahe IT-Security-Dienstleister –, begannen schon nach wenigen Tagen, unter der Last der Hilferufe zu ächzen. Es war weniger, dass die Kompetenz fehlte: Die ließ sich, solide Vorkenntnisse vorausgesetzt, gut innerhalb weniger Tage aus den vorliegenden Informationen aufbauen. Woran es jedoch völlig fehlte, waren Strukturen für Incident-Response-Prozesse, die binnen einer Woche um den Faktor 20 und mehr skalieren mussten, um mit der teilweise verzweifelten Nachfrage mitzuhalten.

Die einzige Lösung? Eine Quasi-Aufgabe des üblichen Beratungsgeschäftsmodells: Wenn es nicht genug Security-Expertinnen und -Experten gibt, die sich (ver-)mieten lassen, um Unternehmen zu retten, muss das Wissen aus den Köpfen dieser Consultants eben herausgezogen und verteilt werden!

Und so boten verschiedene Dienstleister im März kostenlose, hochwertige Hilfestellungen auf allen Kanälen an – Whitepaper, Blogs, Webinare. Ich habe Kolleginnen und Kollegen, die tagelang fast rund um die Uhr gearbeitet haben, um rettende Informationen möglichst weit und effektiv unters (potenziell) betroffene Volk zu bringen. Ein Altruismus, der sonst eher aus der Open-Source-Software-Szene bekannt ist, war plötzlich auf die Security-Welt übergesprungen. Und wurde am Ende einer der Faktoren, der half, die schlimmsten Auswirkungen der Krise abzumildern.

Bemerkenswert war an dieser Stelle die respektvolle und produktive Zusammenarbeit zwischen Hersteller (ja, Microsoft hat Fehler gemacht, wie das späte Bereitstellen der Patches, aber auch viel geleistet für die Detektion von Angriffen), Behörden, Unternehmen und der Community. Hier haben sich Kooperationen (weiter) eingeschliffen, die uns in zukünftigen Krisen noch zugutekommen werden – und vielleicht sogar auch im Normalbetrieb.

Geld ist nicht immer das Wichtigste

Denn klar ist: Wir haben bisher kein „Cyberhilfswerk“ oder eine vergleichbare Struktur, die im digitalen Katastrophenfall in der Lage wäre, ausreichend Kapazitäten zu mobilisieren, um Zehntausenden oder gar Hunderttausenden von Institutionen gleichzeitig wieder auf die Beine zu helfen. Daher benötigen wir zukünftig jede Art von Prozess, der helfen kann, Leistungen im Bereich Incident Response zu skalieren. Monetäre Aspekte sind natürlich zu beachten, sollten aber zunächst zweitrangig sein.

Glück in der ganzen Angelegenheit war übrigens, dass auch die organisierte Cyberkriminalität heute meist noch mit Wasser kocht. Zwar versuchten Erpresser vereinzelt die durch Hafnium gerissenen Lücken mit Ransomware auszunutzen, jedoch waren die meisten Malware-Kampagnen relativ klein und eher stümperhaft programmiert, sodass uns der ganz große weltweite Schaden etwa eines staatlich orchestrierten NotPetyas 2017 diesmal weitgehend erspart blieb. Wir sollten uns allerdings nicht darauf verlassen, dass dies beim nächsten Mal wieder so sein wird. Wenn wir Hafnium als Weckruf verstehen, war der Stress nicht ganz umsonst.

(ur)