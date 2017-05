Man könnte sagen, dass der Verschlüsselungstrojaner WannaCry die vernetzte Welt kalt erwischt hat. Man könnte die Schuld Microsoft zuweisen, da die Redmonder völlig veraltete Betriebssysteme nicht mehr mit Sicherheits-Updates versorgen. Oder man könnte ein verschärftes IT-Sicherheitsgesetz fordern, das Schadsoftware mit Paragrafen vertreibt. Helfen wird das alles nichts.

Software hat Sicherheitslücken und wird immer Sicherheitslücken haben. Das hat mannigfaltige Gründe, beispielsweise die hohe Komplexität vieler Programme, den zeitlichen Druck, unter dem Programmierer arbeiten, oder die Wiederverwendung alter Code-Bestandteile. Läuft ein System isoliert, verursachen solche Schwachstellen zuweilen Abstürze. Das ist ärgerlich, mehr aber auch nicht. Werden angreifbare Geräte mit dem Internet verbunden, sieht die Sache ganz anders aus. Nun lassen sich die fehlerhaften Systeme von außen attackieren und die Angreifer können sich im Erfolgsfall auf weitere Geräte im lokalen Netzwerk vorarbeiten, selbst wenn diese den Ursprungsfehler gar nicht aufweisen. Gegen solche Angriffe hilft nur ein regelmäßiges Stopfen der Sicherheitslücken. Sollte das nicht möglich sein, muss wohl oder übel der Stecker gezogen werden.

Der tägliche Tanz auf dem Vulkan

Das scheint aber insbesondere Unternehmen und Behörden schwer zu fallen, denn statt Rechner, auf denen Windows XP oder Server 2003 laufen, auszumustern, werden diese Oldtimer gehegt und gepflegt. Neue Hardware kostet nicht viel und kann kaum ein Grund für das Festhalten an veralteten Betriebssystemen sein, schwerer wiegen Folgekosten und Ausfallzeiten aufgrund spezifischer Anpassungen für die neuen Systeme. Schlimmstenfalls existiert eine unternehmenseigene Softwarelösung, deren Programmierer längst das Zeitliche gesegnet haben und deren Entwicklungssoftware nur noch auf virtuellen Systemen wiedererweckt werden kann. Und dann sind da noch die bockigen Mitarbeiter, die sich nicht an neue Arbeitsabläufe gewöhnen wollen und lieber drei Tassen Kaffee leeren, bis die alte Gurke endlich Office 97 geladen hat, um dann Solitär zu starten.

Es gibt also tausend schlechte Gründe, an einem seit drei Jahren nicht mehr gewarteten Betriebssystem festzuhalten. Doch wer sich neuen Betriebssystemen, regelmäßigen Updates oder dem Wechsel zu kostenlosen Alternativen wie Linux verweigert, darf sich auch nicht beschweren, wenn sich Schädlinge wie WannaCry einnisten und einem die ganze Sache um die Ohren fliegt. Klar, das kann auch mit aktuellen Systemen und 0-Day-Lücken passieren, doch bei veralteter Software ist die Gefahr exponentiell höher. Die Situation lässt sich recht gut mir klassischen Fahrzeugen vergleichen: Wer mit XP auf der modernen Datenautobahn unterwegs ist, sollte keine Hilfe von modernen Assistenzsysteme erwarten. Wenn man Glück hat, ist der ABS-Sensor noch nicht ausgefallen, ein kleiner Rest Bremsbelag vorhanden und die Reifen sind nicht völlig blank. Das ist nicht alltagstauglich!

Meldepflicht für Schadsoftware: Hier wohnt WannaCry

Wir Deutschen haben diese Analogie zwischen Verkehr und digitaler Infrastruktur erkannt und für diesen Zusammenhang sogar einen Ministerposten kreiert. Diesen füllt Alexander Dobrindt aus und der reagiert CSU-typisch mit einer Forderung nach mehr Sicherheit. Das Problem: Mehr Sicherheit würde bedeuten, veraltete und angreifbare Geräte aus dem Internet zu verbannen. Mit einer solchen Forderung würde sich der Minister bei der deutschen Industrie keine Freunde machen und so geht es ihm erst einmal um die Energie- und Wasserversorgung, die Verkehrsinfrastruktur sowie das Gesundheits- und Finanzwesen. Zudem will der Minister keinesfalls vorbeugen, sondern lediglich die Grundlagen für eine zeitnahe Reaktionen verbessern. Konkret will er die Betreiber von kritischen Infrastrukturen verpflichten, IT-Störungen an das "Bundesamt für Sicherheit in der Informationstechnik" (BSI) zu melden.

Genfer Gedankenspiele aus Redmond

Auch Microsoft denkt an eine Meldepflicht, allerdings für Geheimdienste und Regierungen. Diese sollen unbekannte Sicherheitslücken melden müssen, statt sie als Waffen im eigenen Cyber-Arsenal zu horten. WannaCry ist hierfür ein gutes Beispiel, denn die vom Krypto-Trojaner für seine schnelle Verbreitung genutzt SMB-Schwachstelle (MS17-010) war den US-Geheimdiensten schon seit Jahren bekannt, wie Anfang 2017 veröffentlichte Dokumente belegen. Brad Smith, Microsofts Chefjustiziar, fordert daher erneut "Digitale Genfer Konventionen", welche den Einsatz von Cyberwaffen verbieten und die weltweite 0-Day-Aufrüstung stoppen sollen. Das löst allerdings nur einen Teil des Problems, denn nicht nur die Geheimdienste entdecken immer wieder neue Schwachstellen. Kriminellen dürften diese Konventionen jedenfalls völlig egal sein.

Schütze Dich selbst, sonst tut es keiner!

Weder die Bundesregierung noch Microsoft können den nächsten WannaCry-Ausbruch verhindern. Letztendlich muss jeder für seinen eigenen Schutz sorgen und seine Software aktuell halten. Auch ein Virenschutz bringt herzlich wenig, wenn hinter der Tastatur das Hirn deaktiviert wurde. Und "Für mein Gerät gibt es keine Updates" ist keine gültige Ausrede, sondern vielmehr eine Feststellung, die man beim Neukauf berücksichtigen sollte. An dieser Stelle könnte der Gesetzgeber tatsächlich für mehr Sicherheit sorgen und die Versorgung mit Sicherheits-Updates zumindest für die Dauer der Gewährleistung verordnen. Keine Updates, kein CE-Label, kein Verkauf in der EU!