Microsofts Chefanwalt Brad Smith hat die seit Freitag für Aufsehen sorgende, weltweite Ransomware-Attacke mit der als WannaCry oder auch als WanaCrypt0r 2.0 bezeichneten Malware zum Anlass genommen, um seine bereits im Februar vorgebrachte Forderung nach einer „Digitalen Genfer Konvention“ zu erneuern. Smith forderte damals US-Präsident Trump auf, zusammen mit Russland neue Normen für den Cyberspace zu etablieren. Seiner Vorstellung nach sollen mit dem auszuarbeitenden Vertragswerk Zivilisten vor staatlich gesteuerten Cyberkriegsaktivitäten geschützt werden. Die einzurichtende Kontrollbehörde könnte sich an der Internationalen Atomenergie-Organisation (IAEO) orientieren.
Smith begründete seine Forderung bereits im Februar damit, dass Geheimdienste zunehmend nach Sicherheitslücken in Software suchen und lange Zeit für sich behalten oder Informationen dazu auf dem Markt aufkaufen und sie dann unter Verschluss halten. Damit erschwerten sie es Herstellern und IT-Sicherheitsunternehmen für die Sicherheit ihrer Kunden zu sorgen. Sorge bereitet Smith vor allem die Gefahr, dass derartige Sicherheitslücken an Kriminelle durchsickern und dann in großem Umfang von ihnen genutzt werden könnten.
Genau das ist jetzt im Fall von WannaCry respektive WanaCrypt0r 2.0 geschehen. Die von der Malware ausgenutzte Schwachstelle, die als ETERNALBLUE oder MS17-010 bekannt ist, wurde ebenso wie die Schadsoftware Doublepulsar oder inzwischen geschlossene Lücken in Firmware von Cisco nach Diebstahl und Veröffentlichung von Hacking-Tools bei der NSA öffentlich bekannt.
Microsoft hatte bereits im März einen als „kritisch“ eingestuften Patch bereitgestellt, der die von WannaCry ausgenutzte Lücke schließt. Allerdings wurden Sicherheits-Updates für die eigentlich nicht mehr unterstützten Betriebssysteme Windows XP, Windows 8 und Windows Server 2003 erst am späten Freitagabend zur Verfügung gestellt. Rechner, die noch damit laufen, finden sich vielfach immer noch in Firmen, etwa bei der Deutschen Bahn, Einrichtungen des britischen Gesundheitswesens oder auch Providern wie dem spanischen Konzern Telefónica. Sie alle wurden damit auch Opfer der Attacke.
Bereits im Februar hatte Microsoft-Anwalt Smith vorgeschlagen, dass einem zu bildenden, unabhängigen Kontrollgremium Experten aus der Privatwirtschaft und dem öffentlichen Sektor angehören sollten. Ihre Aufgabe wäre es dann, Cyber-Attacken gemeinsam zu untersuchen. Die Technologiebranche solle dabei ähnlich unparteiisch und uneigennützig Hilfe leisten, wie es in Kriegsgebieten das Rote Kreuz tut. Schließlich gehöre der Cyberspace der Privatwirtschaft und werde von ihr betrieben.
Gleichzeitig solle das Gremium dafür sorgen, dass staatliche Cyberaktivitäten nicht gegen privatwirtschaftliche Einrichtungen gerichtet werden. Als ein Beispiel dafür nannte er damals unter anderem den Angriff auf Sony Pictures vor gut zwei Jahren. Er war laut Smith ein Wendepunkt, sei doch erstmals ein privatwirtschaftliches Unternehmen angegriffen worden, weil es sich zum Recht auf Meinungsfreiheit bekannt habe.
Ausdrücklich verurteilt Smith jetzt auch noch einmal den Umgang staatlicher Stellen mit dem Wissen um Sicherheitslücken scharf: „Schließlich ist dieser Angriff ein weiteres Beispiel dafür, warum die Bevorratung von Schwachstellen durch Regierungen so ein großes Problem ist. Das ist ein Muster, das sich 2017 immer stärker abgezeichnet hat. Wir sahen, wie von der CIA gesammelte Sicherheitslücken bei WikiLeaks auftauchten und jetzt hat eine bei der NSA gestohlene Sicherheitslücke Kunden rund um die Welt geschadet.“
Smith weiter: „Wiederholt sind Exploits aus den Händen von Regierungen in die Öffentlichkeit gelangt und haben weitreichenden Schaden verursacht. Ein vergleichbares Beispiel mit konventionellen Waffen wäre etwa, wenn dem U.S. Militär einige ihrer Tomahawk-Marschflugkörper gestohlen würden.“
Seiner Ansicht nach stellt die WannaCry-Atacke eine zwar nicht beabsichtigte aber besorgniserregende Verbindung zwischen den beiden gefährlichsten Formen von Gefahren für die Cybersicherheit her – Aktivitäten von staatlichen Stellen und dem organisierten Verbrechen.
Regierungen weltweit sollten die WannaCry-Attacke daher als Weckruf verstehen. „Sie müssen ihre Einstellung ändern und auf Waffen für den Cyberspace dieselben Regeln anwenden, die für Waffen in der physischen Welt gelten. Regierungen müssen über den Schaden für die Zivilbevölkerung nachdenken, der durch die Bevorratung von Schwachstellen und der Nutzung der dafür gedachten Exploits entsteht.“
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…