Ransomware WannaCry - The same procedure as every year?

Und wieder ist eine Cyber-Attacke im Gange. Die Ransomware WannaCry legt weltweit eine deutlich wahrnehmbare Anzahl von Rechnern lahm. Und das „Schauspiel“ beginnt: Die Schadsoftware verbreitet sich, die Medien berichten, die Experten kommentieren, die Menschen sind verunsichert, es herrscht Aufregung.

Auf den ersten Blick sind die Schuldigen schnell ausgemacht, natürlich die Erpresser. Aber man muss schon etwas genauer hinschauen, denn diese Bewertung greift deutlich zu kurz. Es gibt einige Beteiligte, die ihren Anteil zum Gelingen der Erpressung beigetragen haben. Da sind nicht nur die Erpresser, sondern auch Hersteller, Anwender und Geheimdienste.

Viele Menschen nehmen in unserer heutigen Zeit solche Ereignisse als unausweichliches Ereignis auf dem Weg in das „digitale Neuland“ wahr, denen man ausgeliefert ist. Und die Verantwortlichen, insbesondere die der von der Schadsoftware betroffenen Organisationen, folgen dieser Argumentation nur allzu gerne. Aber genau hier liegt der Irrtum! Denn wenn man genau hinsieht, werden immer wieder die gleichen Mechanismen offenbar.

Natürlich verurteile ich das Handeln der Täter, insbesondere wenn Einrichtungen wie Krankenhäuser, so wie in England, betroffen sind. Aber man muss hier ganz nüchtern feststellen, dass jede Gesellschaft die Folgen der Entwicklung zu spüren bekommt, die Sie im Vorfeld begünstigt hat! Denn eine solche Ausbreitung von Schadsoftware ist nicht ein schicksalhaftes Ereignis. Sondern zeigt gerade wieder in diesem Fall, die gravierenden Versäumnisse im Vorfeld!

Als primäres Versäumnis bewerte ich, dass die von der Schadsoftware betroffenen Systeme nicht mit den seit Monaten verfügbaren Sicherheitsupdates versorgt wurden und so zu einer leichten Beute für die Schadsoftware geworden sind, bzw. nach wie vor stark veraltete Softwareversionen (Windows XP) im Einsatz sind. Microsoft hatte für alle aktuellen Windows-Versionen bereits im März dieses Jahres Sicherheits-Patches herausgegeben, nachdem Angriffswerkzeuge der NSA bekannt wurden. Aktuell hat Microsoft nun auch Updates für Windows XP, Windows 8 und Windows Server 2003 veröffentlicht (Security Bulletin MS17-010).

Den Befall durch die Schadsoftware hat zunächst die jeweilige Organisation zu verantworten, die die betroffenen Systeme betreibt. Primär ist hier die Leitungsebene der entsprechenden Organisation zu sehen, die Ihrer Verantwortung unzureichend nachgekommen ist, innerhalb der Organisation ein wirksames Informationssicherheitsmanagement (ISMS) zu initiieren und dauerhaft zu betreiben. Davon ausgehend kann man eine Kette des Versagens über die nachfolgenden Hierarchieebenen der jeweiligen Organisation ableiten. Denn hätte beispielsweise das Schwachstellenmanagement im Rahmen des ISMS der betroffenen Organisationen seine Wirksamkeit entfaltet, wären nicht so viele Systeme betroffen gewesen.

Aber da sind ja auch noch die Hersteller, in diesem Fall Microsoft. Man muss zwar sagen dass das formale Verhalten in diesem Fall durchaus positiv zu bewerten ist, da die Patches zeitnah bereit standen und Microsoft auch außer der Reihe für veraltete Systeme (Windows XP) Patches geliefert hat. Allerdings bleibt ein „Grundproblem“ bestehen, was aber nicht Microsoftspezifisch ist, sondern in Grunde für viele Hersteller gilt. Die schiere Menge an Security-Patches und die damit verbundenen Aufwände sind zu hoch, selbst wenn man nur wenige Systeme und Devices betreibt.

In diesem Fall noch ein wirklich bemerkenswertes „Detail“ ist die Entstehung des Exploits. Denn so wie sich die Sachlage im Moment darstellt, konkretisiert sich immer mehr die Tatsache, dass die NSA dieses Angriffsszenario entwickeln ließ, um es anlassbezogen für eigene Zwecke zu nutzen. Gerade Geheimdienste und staatliche Organisationen befeuern durch Ihre Nachfrage den Markt für Exploits, so dass er finanziell immer lukrativer wird. Hier stellt sich die Frage wie weit die Schere zwischen dem vermeidlichen Terrorschutz und den dafür eingesetzten Mitteln aufgehen darf, bevor eine demokratische Gesellschaft langfristig daran zerbrechen kann.

Es bleibt zu hoffen, dass sich unsere Gesellschaft zukünftig intensiver als in der Vergangenheit mit den aus solchen Szenarien resultierenden Fragen beschäftigt und mögliche Auswege identifiziert. Rein operativ ist es notwendig neben den rein funktionalen Anforderungen auch die nichtfunktionalen Anforderungen aus Informationssicherheit und Datenschutz im gesamten Lebenszyklus eines Produktes zu berücksichtigen. Von der Planung und Konzeption, über die Entwicklung und Produktion, dem Betrieb und bei der Stilllegung.

Wie gut sind Sie mit Ihrem ISMS auf die nächste Schadsoftware-Welle vorbereitet?

15 May 2017
ISMS Ransomware NSA WannaCry Exloit
Autor: dirk-groesser