Categories: PolitikRegulierung

Microsoft erneuert angesichts WannaCry-Attacke Forderung nach „Digitaler Genfer Konvention“

Microsofts Chefanwalt Brad Smith hat die seit Freitag für Aufsehen sorgende, weltweite Ransomware-Attacke mit der als WannaCry oder auch als WanaCrypt0r 2.0 bezeichneten Malware zum Anlass genommen, um seine bereits im Februar vorgebrachte Forderung nach einer „Digitalen Genfer Konvention“ zu erneuern. Smith forderte damals US-Präsident Trump auf, zusammen mit Russland neue Normen für den Cyberspace zu etablieren. Seiner Vorstellung nach sollen mit dem auszuarbeitenden Vertragswerk Zivilisten vor staatlich gesteuerten Cyberkriegsaktivitäten geschützt werden. Die einzurichtende Kontrollbehörde könnte sich an der Internationalen Atomenergie-Organisation (IAEO) orientieren.

Microsoft-Präsident Brad Smith (Bild: Microsoft)Smith begründete seine Forderung bereits im Februar damit, dass Geheimdienste zunehmend nach Sicherheitslücken in Software suchen und lange Zeit für sich behalten oder Informationen dazu auf dem Markt aufkaufen und sie dann unter Verschluss halten. Damit erschwerten sie es Herstellern und IT-Sicherheitsunternehmen für die Sicherheit ihrer Kunden zu sorgen. Sorge bereitet Smith vor allem die Gefahr, dass derartige Sicherheitslücken an Kriminelle durchsickern und dann in großem Umfang von ihnen genutzt werden könnten.

Genau das ist jetzt im Fall von WannaCry respektive WanaCrypt0r 2.0 geschehen. Die von der Malware ausgenutzte Schwachstelle, die als ETERNALBLUE oder MS17-010 bekannt ist, wurde ebenso wie die Schadsoftware Doublepulsar oder inzwischen geschlossene Lücken in Firmware von Cisco nach Diebstahl und Veröffentlichung von Hacking-Tools bei der NSA öffentlich bekannt.

Nutzer veröffentlichten bei Twitter zahlreiche Fotos die zeigen, dass die Ransomware WannaCry auch bei Rechnern der Deutschen Bahn zugeschlagen hat (Screenshot: silicon.de bei Twitter)

Microsoft hatte bereits im März einen als „kritisch“ eingestuften Patch bereitgestellt, der die von WannaCry ausgenutzte Lücke schließt. Allerdings wurden Sicherheits-Updates für die eigentlich nicht mehr unterstützten Betriebssysteme Windows XP, Windows 8 und Windows Server 2003 erst am späten Freitagabend zur Verfügung gestellt. Rechner, die noch damit laufen, finden sich vielfach immer noch in Firmen, etwa bei der Deutschen Bahn, Einrichtungen des britischen Gesundheitswesens oder auch Providern wie dem spanischen Konzern Telefónica. Sie alle wurden damit auch Opfer der Attacke.

Bereits im Februar hatte Microsoft-Anwalt Smith vorgeschlagen, dass einem zu bildenden, unabhängigen Kontrollgremium Experten aus der Privatwirtschaft und dem öffentlichen Sektor angehören sollten. Ihre Aufgabe wäre es dann, Cyber-Attacken gemeinsam zu untersuchen. Die Technologiebranche solle dabei ähnlich unparteiisch und uneigennützig Hilfe leisten, wie es in Kriegsgebieten das Rote Kreuz tut. Schließlich gehöre der Cyberspace der Privatwirtschaft und werde von ihr betrieben.

Gleichzeitig solle das Gremium dafür sorgen, dass staatliche Cyberaktivitäten nicht gegen privatwirtschaftliche Einrichtungen gerichtet werden. Als ein Beispiel dafür nannte er damals unter anderem den Angriff auf Sony Pictures vor gut zwei Jahren. Er war laut Smith ein Wendepunkt, sei doch erstmals ein privatwirtschaftliches Unternehmen angegriffen worden, weil es sich zum Recht auf Meinungsfreiheit bekannt habe.

Ausdrücklich verurteilt Smith jetzt auch noch einmal den Umgang staatlicher Stellen mit dem Wissen um Sicherheitslücken scharf: „Schließlich ist dieser Angriff ein weiteres Beispiel dafür, warum die Bevorratung von Schwachstellen durch Regierungen so ein großes Problem ist. Das ist ein Muster, das sich 2017 immer stärker abgezeichnet hat. Wir sahen, wie von der CIA gesammelte Sicherheitslücken bei WikiLeaks auftauchten und jetzt hat eine bei der NSA gestohlene Sicherheitslücke Kunden rund um die Welt geschadet.“

Smith weiter: „Wiederholt sind Exploits aus den Händen von Regierungen in die Öffentlichkeit gelangt und haben weitreichenden Schaden verursacht. Ein vergleichbares Beispiel mit konventionellen Waffen wäre etwa, wenn dem U.S. Militär einige ihrer Tomahawk-Marschflugkörper gestohlen würden.“

Seiner Ansicht nach stellt die WannaCry-Atacke eine zwar nicht beabsichtigte aber besorgniserregende Verbindung zwischen den beiden gefährlichsten Formen von Gefahren für die Cybersicherheit her – Aktivitäten von staatlichen Stellen und dem organisierten Verbrechen.

Regierungen weltweit sollten die WannaCry-Attacke daher als Weckruf verstehen. „Sie müssen ihre Einstellung ändern und auf Waffen für den Cyberspace dieselben Regeln anwenden, die für Waffen in der physischen Welt gelten. Regierungen müssen über den Schaden für die Zivilbevölkerung nachdenken, der durch die Bevorratung von Schwachstellen und der Nutzung der dafür gedachten Exploits entsteht.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago