Digitaler Bankraub

Mehr als 200.000 kompromittierte Systeme weltweit, in mehr als einhundert Ländern. Mit diesem Erfolg hätten wohl die Erpresser selbst nicht gerechnet. Eine Art digitaler Bankraub. Ohne Waffen und ohne Tresor aufbrechen. Dafür aber an tausenden Orten, mehr oder weniger zeitgleich. Aber von Anfang an:

Kurz vor Ostern veröffentlichte eine Gruppierung, die sich selbst “Shadow Brokers” nannte eine außergewöhnliche Sammlung. Was in der Tech- und IT-Welt das gesamte Osterwochenende und in den Folgewochen für Aufruhr sorgen sollte, blieb zunächst einer breiten Öffentlichkeit verborgen.

Vier Wochen später kam “Wannacry”:

Quelle: Tagesthemen

Die Dateien, die die “Shadow Brokers” veröffentlichten befand so manch ein Experte “als die größte Enthüllung bislang” oder als ein bemerkenswertes “Waffenarsenal”. Darin enthalten zahllose Schwachstellen. Schlupflöcher, die es Kriminellen leicht machen, in Computer und Systeme einzudringen. Untersuchungen von IT-Spezialisten legen nahe: Die Sammlung stammte aus den Beständen der NSA, dem US-Geheimdienst oder einem ihrer Vertragspartner. Dieser NSA, die eigentlich für die Sicherheit von US-Bürgern zuständig ist. Und dessen Selbstverständnis sich in den letzten Jahren zunehmend verändert hat.

Glaubt man dem Whistleblower und ehemaligen NSA-Mitarbeiter Edward Snowden, so ist die NSA in ihrer jüngeren Vergangenheit zu einer Art “Hacking Agency” geworden.

Interessanterweise hatte zum Beispiel Microsoft für zahlreiche der veröffentlichten Sicherheitslücken bereits Wochen zuvor ein “Update” herausgegeben. Ein kleines Stück Code, das das System repariert und die Schwachstelle schließt. Allerdings, und das wir später wichtig werden, nur für aktuelle Versionen des hauseigenen Betriebssystems Windows (und nicht etwa für das abgelaufene Windows XP).

Was dann geschah

In den folge Wochen beobachteten Experten immer wieder kleinere Angriffe, die sich auf die verschiedenen veröffentlichten Schwachstellen zurück führen ließen.

Und da Windows ja bereits Updates heraus gegeben hatte und auch andere Firmen entsprechend reagierten, hätte man meinen können, das Potential des veröffentlichten “Waffenarsenals” wäre verpufft. Oder Angriffe würden im Verborgenen laufen, Kriminelle würden ihre Informationen abziehen und die Schwachstelle unverhohlen weiter nutzen.

Mit den Geschehnissen vom 12. Mai änderte sich das radikal. Ein sogenannter Ransomware Angriff, ungezielt durchgeführt, traf auch deutsche Computersysteme und vor allem aber viele Unbeteiligte.

So wie es sich hier eindrücklich zeigt:

Tweet mit Bild einer befallenen Anzeigetafel

Fotos von Twitternutzern, die die Anzeigetafeln der Deutschen Bahn zeigen, die nicht mehr funktionierten.

Tweet mit Bild einer mit Kreide beschriebenen Tafel mit Abfahrtszeit und Zielort

Großer Schaden - wenig Ertrag

Bei einem Ransomware Angriff geschieht nichts weiter, als dass das Schadprogramm sofort anfängt wichtige Dateien zu verschlüsseln. Verschlüsselt heißt in diesem Fall, sie sind für den Anwender weder lesbar, noch nutzbar.

Meist dauert das eine kleine Weile und mehr oder weniger schnell erscheint dann die Nachricht, man müsse jetzt zahlen oder alle Dateien blieben für immer verschlüsselt.

Ich habe mich für einen früheren Bericht mit verschiedenen Opfern von Ransomware unterhalten. Manche von ihnen werden sehr gezielt angegriffen. Das heißt, der Angreifer weiß genau, wie hoch die Summe sein darf, die er fordern kann. Bei einem Hotel, mit dem ich zum Beispiel Kontakt hatte, verschlüsselte eine Ransomware das Buchungssystem. Die Besitzer zahlten sofort, rund 3000 Euro. Der Verlust der Daten wäre teurer gewesen.

Im aktuellen Fall allerdings, ist die Forderungssumme vergleichbar niedrig. 300 US Dollar, rund 270 Euro, fordern die Erpresser. Das passt zum massenhaften Aussenden der Schadsoftware, spricht aber nicht für Professionalität. Denn viel Geld haben die Kriminellen mit ihrer Aktion bislang nicht verdient. Rund 31.000 Euro, Stand 14. Mai. Aktuelle Informationen dazu hier.

Der gesellschatfliche Schaden indes ist immens und lässt sich kaum beziffern. Auch drei Tage später funktionieren Anzeigetafeln nicht.

Screenshot von strecke.info der deutschen Bahn mit Angabe der ausgefallenen Anzeigetafeln

Quelle: Streckeninfo Deutsche Bahn

Schlimmer ist es in England, wo der Angriff vor allem das als marode geltende Gesundheitssystem trifft. Computer sperren sich oder müssen aus Sicherheitsgründen abgeschaltet werden. In Folge lehnen Krankenhäuser Patienten mit weniger dringenden Anliegen ab. Nur noch Notfälle können behandelt werden. Jedes 5. Krankenhaus ist am 13.05.2017 von dem Computerschädling betroffen.

Genauso bei einigen Renault Werken in Frankreich, in denen ebenfalls aus Sicherheitsgründen Systeme abgeschaltet werden müssen.

Weiter werden Schwierigkeiten bei der spanischen Telefongesellschaft Telefonica bekannt.

Valide Informationen zur Verbreitung des Angriffs liefert ein britischer IT-Forscher auf seinem Blog Malwaretech. Ihm gelang es auch die Attacke vorerst zu stoppen.

Die Frage nach der Verantwortung

Wer das Update installiert hätte, dem hätte ja keine Gefahr gedroht. Sprich bei allen anderen wäre es Selbstverschulden gewesen. So formuliert es Arne Schönbohm, Chef des Bundesamt für Sicherheit in der Informationstechnik und sicher hat er damit auch ein Stück weit recht.

Doch die Kritik lässt sich weiter fassen: Wer betreibt, warum noch das veraltete Betriebssystem Windows XP? (Wahrscheinlich die Bahn auf ihren Anzeigetafeln).

Und inwiefern sehen wir hier die Folgen einer ausufernden “Verwandlung” einer US-Behörde, von einer Schutz-Behörde zu einer Angriffs-Behörde? Und so liegt die Verantwortung eben nicht allein bei jedem Nutzer, sondern gewiss auch bei denen, die diese Schwachstellen fanden, ausnutzten und nicht den Herstellern zurück meldeten.