20 Jahre Blaster-Wurm: Der nächste Super-GAU wartet in der Cloud
Als Blaster über Windows-PCs weltweit herfiel, war die Aufregung groß. Gefahr gebannt? Mitnichten, meint Jürgen Schmidt und blickt besorgt in die Cloud.
Vor 20 Jahren raste der Blaster-Wurm durchs Internet. Ein nach wie vor unbekannter Hacker führte aller Welt vor Augen, wie sehr die IT und allen voran Microsoft bei der Sicherheit geschlampt hatte – und dass das ein durchaus reales Problem bedeutet. Windows-PCs stürzten ab und starteten neu – weltweit und millionenfach immer wieder. Und damit schaffte es Blaster als einer der ersten IT-Sicherheits-Vorfälle sogar in die Hauptnachrichten.
Vor 20 Jahren …
Es war die Zeit, als Microsoft dieses "Internet" entdeckte und ein Riesen-Geschäft witterte. Doch einen Computer mit dem Internet zu verbinden, setzte diesen einer ganz neuen Qualität von Gefahren aus. Und Windows war auf diese Gefahren der Online-Welt überhaupt nicht vorbereitet. Das System stand buchstäblich sperrangelweit offen, täglich wurden neue, kritische Sicherheitslücken bekannt, die dann mehr so "bei Gelegenheit mal" geschlossen wurden. Von Microsoft hörte man vor allem: "Kein Problem, vertraut uns, wir haben das im Griff" – um dann genauso weiterzumachen.
In dieser Gemengelage verbreitete der Blaster-Wurm – auch "MSBlast" oder "Lovsan" genannt – die Botschaft an den damaligen Microsoft-CEO Bill Gates:
"billy gates why do you make this possible ? Stop making money and fix your software!!"
Er traf damit voll ins Schwarze. Tatsächlich fand damals ein Umdenken statt und die IT-Industrie begriff, dass Security kein Luxus war; dass Sicherheitsvorfälle mehr als nur ein PR-Problem darstellten. Das war natürlich nicht nur Blaster zu verdanken, aber der Wurm warf ein weithin sichtbares Schlaglicht auf das Problem und machte klar, dass die Situation längst außer Kontrolle war (siehe auch meinen damaligen Kommentar: Lehren aus "Einmal Wurm mit Ansagen").
Insbesondere Microsoft bemühte sich in den folgenden Jahren recht intensiv darum, sein Flaggschiff Windows und Software im Allgemeinen sicherer zu gestalten. Das Service Pack 2 für Windows XP war ein deutlicher Schritt in die richtige Richtung; es gab endlich Sicherheits-Updates, die die verwundbaren Systeme auch erreichten; der Security Development Lifecycle verbesserte die Software-Qualität. Kurz: Es schien tatsächlich in die richtige Richtung zu gehen.
Und heute?
20 Jahre später drängt die IT mit aller Macht in die Cloud und bei Microsoft ist nicht mehr Windows, sondern die Cloud das wichtigste Produkt. Sowohl Privatanwender als auch Unternehmen und Behörden lagern in großer Zahl ihre Prozesse und Daten auf die von Profis professionell und sicher betriebenen Systeme einiger weniger Hersteller aus. Das mit dem “professionell und sicher” ist zumindest das Versprechen der Cloud-Anbieter – und allen voran natürlich von Microsoft, die erneut ein Riesen-Geschäft wittern. Doch wie ist es tatsächlich um die Sicherheit dieser Daten bestellt? Denn natürlich sind die Daten in der Cloud einer ganz neuen Qualität von Gefahren ausgesetzt.
Da gab es vor wenigen Wochen ein spannendes Schlaglicht, das einen Einblick in die sonst nur aus Eigenwerbung der Anbieter bekannten Sicherheitsmaßnahmen gab. Microsoft feierte sich eigentlich dafür, die Angriffe angeblich chinesischer Staats-Hacker unterbunden zu haben. Bei genauerem Hinsehen offenbarte sich jedoch ein Security-Albtraum. Microsoft hatte sich einen Master-Key klauen lassen, der den Angreifern wochenlang Zugriff auf fast alle Daten all ihrer Cloud-Kunden ermöglichte. Ein gestohlener Master-Key ist eigentlich schon der GAU für einen Cloud-Anbieter. Doch es war noch viel schlimmer: Der Schlüssel hätte gar nicht funktionieren dürfen; Microsofts Schloss war also auch noch kaputt. Das kommt einer Bankrotterklärung der hochgelobten Cloud-Security gleich.
Und Microsofts Reaktion? Sie spielen dieses Komplettversagen in gewohnter Manier konsequent herunter: Man habe das alles im Griff und Kunden brauchen sich da keine Sorgen zu machen, lässt sich die Kommunikation zu dem Vorfall gut zusammenfassen. Und das Schlimme daran: Es scheint zu funktionieren – der desaströse Vorfall schaffte es kaum in die Mainstream-Medien.
Europa in Duldungsstarre
Das liegt auch daran, dass von den hauptsächlich Betroffenen – laut Microsoft vor allem europäische Regierungsbehörden – gar nichts zu dem Thema kommt. Eigentlich würde man doch erwarten, dass gerade die jetzt lautstark eine gründliche Aufarbeitung dieses Versagens bei Microsoft fordern. Vielleicht sogar eine Offenlegung der zum Schutz der Daten getroffenen Sicherheitsmaßnahmen?
Doch da kommt nichts, wirklich gar nichts. Die US-amerikanische CISA machte etwas Druck auf Microsoft, weil es auch zwei US-Behörden traf, aber Europa befindet sich offenbar bereits in Duldungsstarre. Das BSI antwortete auf diesbezügliche Nachfragen von heise Security lapidar:
"Aktuell gehen wir von einer sehr geringen Betroffenheit deutscher Organisationen aus. Der Vorfall erhöht die Sensibilität für derartige Angriffe [...] führt aber nicht zu einer grundsätzlichen Neubewertung der Sicherheit von Cloud-Computing durch das BSI."
Braucht es tatsächlich erst wieder einen Sicherheitsvorfall wie Blaster, der quasi jede(n) ganz konkret betrifft, damit die Dienste der Cloud-Anbieter unter Sicherheitsgesichtspunkten neu bewertet werden? Doch diesmal werden wir nicht so glimpflich davon kommen, wie vor 20 Jahren. Denn heute kommen die Angriffe nicht mehr von Hackern mit übersteigertem Spieltrieb, sondern von mafiösen Cyber-Kriminellen und militärisch organisierten Cyber-Soldaten. Und wenn die zuschlagen, wird es richtig teuer.
Ursprünglich stand im Text, Blaster wäre der erste Wurm in den Hauptnachrichten gewesen. Doch diese fragwürdige Ehre kommt dem Wurm ILoveyou zu, der bereits 2000 für große Aufmerksamkeit sorgte. Wir haben die Formulierung deshalb angepasst.
(ju)