Interview zur Cyberattacke „Bei Updates sind Firmen oft nachlässig“

Von Christiane Schulzki-Haddouti 

Vergangene Woche wurden Hunderttausende Windows-Rechner von der Erpressungssoftware Wannacry attackiert. Udo Helmbrecht, Chef der Europäischen Agentur für Netz- und Informationssicherheit, sieht in dem Angriff einen Weckruf für einen entschiedeneren Kampf gegen Hacker.

Viren der anderen Art: Auch Krankenhäuser waren von der Hackerattacke betroffen. Foto: Mauritius
Viren der anderen Art: Auch Krankenhäuser waren von der Hackerattacke betroffen. Foto: Mauritius

Stuttgart - Vergangene Woche wurden Hunderttausende Windows-Rechner von der Erpressungssoftware Wannacry attackiert. Es war die erste Nagelprobe für den europäischen Zusammenschluss der Computer-Notfallzentren, der von der Europäischen Agentur für Netz- und Informationssicherheit (Enisa) koordiniert wird. Enisa-Chef Udo Helmbrecht sieht in dem Angriff einen Weckruf für einen entschiedeneren Kampf gegen Hacker.

Wissen Sie denn, wie viele Rechner betroffen sind und welcher Schaden bislang verursacht wurde?
Aktuell sind etwa 200 000 Systeme in 150 Ländern betroffen. Bisher scheint der Schaden im Bereich von 50 000 Euro zu liegen, da einige Hundert Opfer bezahlt haben. Aber es ist schwierig, einen Schaden abzuschätzen, wenn die Betroffenen sich nicht bei der Polizei melden. Das empfehlen wir, weil es sich bei diesen Erpressungsversuchen um Computerkriminalität handelt. Europol ist hier auch bereits aktiv. Wir wissen auch noch nicht, ob einige bezahlt haben und ihre Systeme darauf nicht freigeschaltet wurden.
Wie haben Sie die letzten Tage nach der Wannacry-Attacke erlebt?
Wir waren ziemlich beschäftigt, aber im Moment ist es wieder ruhig. Normalerweise arbeiten ja nur drei Leute in unserem Sekretariat für Cyber-Kooperation, weil wir nicht mehr Ressourcen bekommen haben. Aber für Wannacry haben am Wochenende vier, am Montag dann zehn Leute mitgearbeitet, um den Code der Schadsoftware zu prüfen und mit den Notfallteams in den europäischen Mitgliedstaaten technische und vertrauliche Informationen auszutauschen. Das haben wir seit 2010 geübt und das hat jetzt im Ernstfall wunderbar funktioniert.
Was tun, um sich vor einer Attacke zu schützen?
Ich sage nur: Patchen, patchen, patchen. (das englische Verb to patch steht sinngemäß für flicken oder nachbessern – d. Red.) Jeder sollte die Sicherheitspatches der Softwarehersteller umgehend in sein System einspielen. Die Angreifer lernen aus der ersten Welle und werden ihre Nachfolgeversion entsprechend nachbessern. Microsoft hat ja schon vor Wochen ein automatisches Update zur Verfügung gestellt. Weil normale Nutzer dieses automatische Update eingeschaltet haben, waren sie jetzt besser geschützt.
Betroffen waren offensichtlich vor allem Transportunternehmen wie die Deutsche Bahn, Autohersteller in Frankreich und Slowenien sowie Krankenhäuser in Großbritannien und Deutschland. Wie kommt das?
Das passierte wohl, weil die Unternehmen in der Regel die von Microsoft bereitgestellten automatischen Sicherheitsupdates nur zeitverzögert oder gar nicht einspielen. Die IT-Abteilungen prüfen diese Updates vorher, um mögliche Ausfälle in Anwendungsprogrammen zu vermeiden. Doch das muss zeitnah, also innerhalb weniger Stunden oder Tage erfolgen. Wenn das System dann aber Wochen später wegen einer Attacke in die Knie geht, ist das seitens der Unternehmen schlicht Nachlässigkeit. Es ist erstaunlich, wie viele Krankenhäuser betroffen waren.
Können beispielsweise Patienten, die vorzeitig aus der Intensivstation entlassen werden mussten, und die im Nachgang gesundheitliche Nachteile erleiden, das Krankenhaus wegen Nachlässigkeit verklagen?
Ich bezweifle, dass das Krankenhaus sich hier noch auf „höhere Gewalt“ berufen kann. Das zeigt aber auch, dass wir eine Regelung für Haftung im Bereich der kritischen Infrastrukturen dringend brauchen.
Steckt denn Nordkorea hinter dem Angriff, wie im Moment einige Experten annehmen?
Das ist Spekulation. Nur weil Sie irgendeinen Codeschnipsel finden, den Sie schon früher in einer anderen Software gesehen haben, haben Sie noch längst keinen Beweis in der Hand. Das kann Zufall sein. Es ist auch eine Art Wettrennen zwischen den IT-Sicherheitsexperten, jetzt den Nachweis für den Urheber zu finden. Aber das ist verdammt schwierig und viel zu früh.
Also nur heiße Luft?
Es ist die Frage, ob das jemals herauskommt. Aus unserer Sicht ist die Software unprofessionell programmiert worden. Es sieht aus, als hätte man mit einer Kanone auf Spatzen geschossen, denn der Angreifer hat auf einen Schlag Hunderttausende Nutzer erpresst. Theoretisch müsste er ja in der Lage sein, seine Lösegeldforderungen auch abarbeiten zu können.
Also ist es doch eine Hobby-Hackergruppe?
Keiner weiß das im Moment. Möglicherweise ist der Angreifer ja gar nicht am Geld interessiert, sondern an Sabotage. Erinnern wir uns an 2010: Mit dem Sabotage-Virus Stuxnet sollte beispielsweise nur gezielt eine Urananreichungsanlage im Iran gestört werden. Wenn Sie aber so einen Virus in die Welt schicken, könnten Sie irgendwann ganz Europa lahmlegen. Sie sehen: Es gibt viel Platz für Verschwörungstheorien.
Was kann die Konsequenz aus dem Wannacry-Vorfall sein?
Der Angriff ist auf jeden Fall ein Weckruf. Alle zuständigen Stellen sollten jetzt nachdenken, was das bedeutet. Dass der Wannacry-Angriff so funktioniert hat, bedeutet nämlich auch, dass andere Angriffsszenarien möglich wären. Terroristen könnten so eine Software auch zur Sabotage einsetzen.
Der US-Geheimdienst NSA hatte die Schwachstelle im Betriebssystem, die den Angriff ermöglichte, jahrelang nicht an Microsoft gemeldet, um sie für eigene Zwecke nutzen zu können. Wie ist dieser Interessenkonflikt aufzulösen?
Der Staat sollte keine Kollateralschäden mit einrechnen. Er sollte Gefahrenabwehr und Strafverfolgung auf klassische Weise unterstützen. Für uns zeigt die Wannacry-Attacke, dass man alle Schwachstellen offenlegen muss, damit man frühzeitig Abwehrmaßnahmen entwickeln kann. Ansonsten ist die Katastrophe vorprogrammiert. Unsere Botschaft an die Politik ist daher eindeutig: Kompromittiert keine Kryptoalgorithmen (Verschlüsselungsprogramme – d. Red.), denn wir brauchen starke Kryptografie.