Expertin zu Trojaner-Attacke: "Wannacry ist ein Weckruf an die ganze Gesellschaft"

Sie sind möglicherweise die einzige deutsche Partei, in der jedes Mitglied aus dem Stand erklären kann, was WannaCry eigentlich ist: die Piraten. Anja Hirschel, IT-Expertin und Spitzenkandidatin für die Bundestagswahl, wirft im Interview einen Blick auf die Hintergründe des Desasters und macht Vorschläge, was jetzt auf Seiten der Politik geschehen muss – damit die nächste Attacke aus dem Netz ohne gravierende Folgen bleibt.

Rollen wir das WannaCry-Desaster zum allgemeinen Verständnis einmal von vorne auf: Was hat Ihrer Ansicht nach zu den massiven Auswirkungen des Angriffs geführt?

Man muss dazu noch weiter zurückgreifen: Dass dieser Wurm überhaupt zum Einsatz kommen konnte, liegt daran, dass durch einen Hack die Spionage-Programme der NSA-nahen „Equation Group“ im freien Verkauf angeboten wurden. Diese Programme wurden passgenau so programmiert, Schwachstellen in Betriebssystemen und Programmen auszunutzen. Also schlüsselfertige Hacking-Tools aus dem Arsenal der Geheimdienste. Die Verwundbarkeiten von IT-Systemen werden gezielt erforscht und mit dem Wissen darum wird dann Handel getrieben.Experten prüfen Verwicklung Nordkoreas in WannaCry-Hackerangriff

Die Hauptschuld tragen neben den Kriminellen selbst also auch die Regierungen? 

Ja, denn sie nutzen solche Lücken, statt sie schnellstmöglich zu schließen, gezielt für den Einsatz passgenauer Überwachungsprogramme. Das Brisante an WannaCry ist ja, dass die Schwachstelle, die dieser Wurm ausnützte, Regierungsorganisationen in den USA lange bekannt war, dies aber dem Hersteller Microsoft nicht mitgeteilt wurde, damit man eben diese Schwachstelle zur Spionage ausnutzen wollte. Das hat nichts mit verantwortungsbewusstem Handeln zu tun, auch nicht wenn es im Namen der Sicherheit geschieht. So etwas muss international geächtet werden. Mit Folgen bei Zuwiderhandlung.

Warum konnte dieser Angriff überhaupt derartige Ausmaße annehmen?

Vor allem versäumten die betroffenen Unternehmen die nötigen Aktualisierungen, das führte zu dem nun beobachteten Ausmaß an Infektionen. Das nötige Update stand aber bereits im März zur Verfügung. Wer nicht zusätzlich regelmäßige Datensicherungen auf externen Speichermedien durchführt, für den wird es schwierig bis unmöglich, die Systeme wieder lauffähig zu bekommen. Die Risiken, welche durch ein schlecht gewartetes oder veraltetes Betriebssystem entstehen können, werden leider immer noch unterschätzt.

Wobei in Deutschland nicht so viele Unternehmen betroffen waren wie etwa in Großbritannien. 

Das ist vor allem dem „unglücklichen“ Umstand zu verdanken, dass vor etwa einem halben Jahr Kliniken bereits der Attacke eines Crypto-Trojaners namens Locky ausgesetzt waren. Damals hat man viele vormals unsichere Rechner vom öffentlichen Netz getrennt.WannaCry-Porträt 14.30

Weshalb wurden Systeme in anderen Unternehmen nicht rechtzeitig aktualisiert?

Die meisten Probleme gehen zurück auf mangelndes oder nicht ausreichend in IT-Administration geschultes Personal. Besonders, wenn kein Fachpersonal zur Verfügung steht, sondern, wie etwa in Kliniken, von Ärzten oder ihren Assistenten neben ihrer normalen Arbeit die Betreuung der IT-Systeme verlangt wird. Dem medizinischen Personal darf man hier keine Vorwürfe machen. Ihre Priorität sollte auf der Versorgung der Patienten liegen, und selbst dabei leisten sie schon Überstunden. Der WannaCry-Skandal hat so viele Schwachstellen aufgezeigt…

Welche denn noch?

Zum Beispiel bei den Herstellern von sogenannten „Embedded-Geräten“, die eine Computersteuerung besitzen, zum Beispiel Geräte in der Diagnostik oder auch einfache Anzeigetafeln. In ihrem Marktsegment nehmen diese Unternehmen oft eine Monopolstellung ein. Es gibt kaum Konkurrenzdruck, der zu einer schnellen Aktualisierung der verwendeten Systeme zwingen würde. Deshalb arbeiten noch viele dieser Geräte mit Windows XP. Vor Erpressungs-Trojanern schützen 19.26h

Aber gerade, weil diese Art Geräte länger im Einsatz ist als ein normaler Computer, muss über Alternativen zu den bisherigen Betriebssystemen nachgedacht werden. Um eine nachhaltige Lösung zu erzielen, darf nicht weiter zugelassen werden, dass die technische Unbedarftheit mancher Kunden zum dauerhaften Einsatz von schlecht zu wartenden und damit unsicheren Systeme führt.

Und wenn ein Betriebssystem von einem neueren abgelöst wird…

…gibt es auch keine Betreuung mehr. Also auch keine entsprechenden Patches, also bereitgestelltes „Flickwerk“ für Fehler. Selbst wenn eine bestimmte Sicherheitslücke bekannt ist, kann diese vom Verbraucher nicht selbst geschlossen werden. Das Einfalltor für einen möglichen Angriff bleibt damit offen.Hack-Kommentar 18.15h

So weit das Woher. Nun zum Wohin: Was muss Ihrer Ansicht nach geschehen, damit sich so eine Katastrophe nicht wiederholt?

Am besten beginnen wir beim Gesetzgeber. Statt Exploits von Staatsseite zur Überwachung zu nutzen, muss eine Verpflichtung zu deren Behebung nach Bekanntwerden entstehen. Dabei muss das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktiv und zeitnah über mögliche Bedrohungen informieren, Lösungen einfordern und diese kommunizieren. Und: Das BSI müsste dazu gesetzlich verpflichtet werden. Das ist der erste Schritt.

Dann die Netzwerkanalyse-Tools, abwertend oft „Hacking-Tools“ genannt: Die sind für die Aufrechterhaltung der IT-Sicherheit unbedingt erforderliche Hilfsmittel und müssen weiterhin zur Verfügung stehen dürfen. So wird eine „Härtung“ der Systeme durch professionelle Penetrationstests gewährleistet. Der staatliche Einsatz solcher Programme als reine Spähsoftware – Stichwort: „Bundestrojaner“- muss allerdings geächtet werden. Der Fokus muss klar auf der Beseitigung von Angriffsmöglichkeiten liegen. 

„Microsoft fordert eine Digitale Genfer Konvention – setzt sich aber damit mit an den Tisch“

Microsoft hat bereits im Februar zur Gründung einer „Digitalen Genfer Konvention“ aufgerufen. 

Man sollte dabei aber nicht übersehen, dass Microsoft sich durch diesen Vorschlag natürlich gleichzeitig selbst an den Tisch gesetzt hat und so Einfluss auf die Agenda nehmen kann. Die Frage ist allerdings, ob bei so einer Konferenz tatsächlich etwas herauskommt, was auf politische oder und wirtschaftliche Player Einfluss nehmen kann. Keine Konferenz kann verhindern, dass Sicherheitslücken missbraucht werden.

Wer soll künftig für Software-Fehler haften?

Das muss grundlegend neu und intensiv diskutiert werden. Das gilt nicht nur für den Bereich der Netzwerkkomponenten von Festgeräten, sondern für alle internetfähigen Geräte. Wer haftet etwa dafür, wenn die nächste Attacke internetfähige Steuerelemente der Strom- oder Wasserversorgung, der internetfähigen Haus- und Heizungssteuerungen oder gar autonome Fahrzeuge betrifft?

Aber eine pauschale Haftung für unsichere Software…

…darf auf keinen Fall zu Lasten der Kreativwirtschaft gehen: Kleine Unternehmen, Freiberufler oder Menschen, die freie Software herstellen, dürfen nicht übermäßig belastet oder durch Haftungsrisiken aus dem Markt gedrängt werden. Eine Haftung sollte sich nur aus der fahrlässigen Handlungsweise eines Herstellers ergeben, der z.B. ihm bekannte Sicherheitslücken nicht behebt, oder vom Design her leicht vermeidbare Probleme nicht verhindert.

Sie sprechen Wasser- und Stromversorger an, also kritische Infrastrukturunternehmen, wie Krankenhäuser auch. Was muss dort geschehen? 

Die müssen besondere Sorgfalt in der Umsetzung ihrer Sicherheitskonzepte walten lassen und entsprechende Maßnahmen verpflichtend dokumentieren. Die reine Einführung von weiteren Zertifikaten ist dabei allerdings nicht zielführend. Denkbar sind öffentlich nachlesbare Testverfahren ähnlich den Verfahrensbeschreibungen aus dem Bereich des Datenschutzes. Das sorgt für die Nachprüfbarkeit der getroffenen Maßnahmen, was z.B. im Falle eines Hacks für die Unternehmen oder etwaige Versicherungen eine verlässliche Entscheidungsgrundlage bietet. Außerdem können diese schneller den sich ändernden technischen Herausforderungen angepasst werden.

In diesen Tagen wird wieder sehr laut über freie Software und Betriebssysteme diskutiert. Würde eine Förderung helfen?

Auf jeden Fall, vor allem bei Verwaltungen und bei öffentlichen Trägern. So könnte man die Abhängigkeit von IT-Großkonzernen schrittweise verringern. Damit spart man nicht nur ordentlich an Kosten, sondern hat – im Falle von quelloffener Software – einen hohen Sicherheitsgewinn, weil viele Menschen in der Community die Probleme schnell erkennen und beheben können. WannaCry ist ein Weckruf an die ganze Gesellschaft.

Das sagt Microsoft auch. Der Wurm WannaCry befiel Computer, die mit dem bereits veralteten System Windows XP betrieben werden. Der Hersteller hat nun vor allem die amerikanische Regierung hart kritisiert: Sie häuften immer mehr Schwachstellen an, um diese zur Spionagezwecken zu nützen.

Microsoft lenkt davon ab, dass es erst Fehler in den von ihnen vertriebenen Produkten waren, die das Ganze möglich machten. Wenn eine Software unsicher ist, dann deswegen, weil bei der Entwicklung Fehler geschahen oder Dinge übersehen wurden. Von einem Konzern wie Microsoft muss man erwarten können, dass dieser entsprechende Prüfungen vornimmt und Sorgfalt leistet. Trotzdem hat Microsoft recht, wenn sie fordern, dass beim Einsatz veralteter Software auch der Anwender haften soll. Wer sein Gerät trotz der Warnung und Angebote der Softwarehersteller nicht aktualisiert, der trägt die Hauptlast der Verantwortung.

Es  gibt den Vorschlag, Strafen für Unternehmen zu verhängen, die ihre Systeme nicht  zeitgerecht updaten. Gut oder schlecht? 

Strafen sind schnell gefordert, allerdings sind sie kein geeignetes Mittel zur Verbesserung der IT-Sicherheit. Zumal sie einen enormen Kontrollaufwand bedeuten. Besser ist der bereits erwähnte Ansatz von einsehbaren standardisierten Testverfahren.

Wie stehen Sie zu einer Meldepflicht? 

Womöglich noch zusammen mit staatlichen IT-Einsatzteams, die Zugriff auf Firmen-und Behördennetze hätten? Das lehnen wir strikt ab. Kein Administrator darf gezwungen werden, Fernwartungen zuzulassen.

Wozu sollen Hersteller Ihrer Meinung nach gesetzlich verpflichtet werden? 

Nicht nur die Softwarehersteller sind in der Pflicht. Gerade dadurch, dass immer mehr Geräte netzwerkfähig sind, sind neue Regelungen zum Verbraucherschutz notwendig. Eine sinnvolle Maßnahme wäre die aktive Information und Sensibilisierung der Unternehmen für das Gefahrenpotential. Hier sind Kammern und Verbände in die Pflicht zu nehmen um zusammen mit dem BSI die Unternehmen zu informieren.

Wie soll das genau aussehen?

Die Schnittstellen, das verwendete Betriebsystem und die Art der übermittelten Daten muss dokumentiert werden. Die Software muss durch den Verbraucher aktualisiert werden können – damit aus dem berühmten „Internet of Things“ nicht ein Netzwerk aus veralteten Computern wird. Nicht umsonst werden bereits Geräte wie netzwerkfähige Babyphones bereits als Botnetz für Angriffe verwendet.

Microsoft hält quasi ein Monopol. Milliarden von Computern arbeiten mit deren Hard- und Software. Ist das nicht Teil des Problems? Weil Kriminellen damit die Arbeit sehr leicht gemacht wird?

Die marktbeherrschende Stellung von Microsoft führt dazu, dass ihr Betriebssysteme automatisch ein sehr lohnendes Ziel darstellen. Es gibt bei der Diskussion nur ein Problem: Woran will man festmachen, ob ein Unternehmen tatsächlich eine Monopolstellung innehat? Wie haben auch in Deutschland vergleichbar kleine Firmen und Genossenschaften, die auf speziellen Marktsegmenten ein Monopol haben. Würde man nun fordern, dass eine Monopolstellung im IT-Bereich automatisch zu einer Zerschlagung und Fremdkontrolle führen muss, würde das einen starker Eingriff in das Engagement von Firmen sein, neue Produktfelder zu erschließen.

Haben die Piraten denn eine bessere Idee?

Besser ist es, den Kunden zu informieren damit vernünftige IT-Sicherheit ein Verkaufsargument wird. Dazu gehört, dass gravierende Fehler transparent gemacht werden müssen. Der Eindruck, dass beispielsweise nur Microsoft oder Apple-Software auf Betriebssystemebene zur Auswahl gestellt werden, liegt auch daran, dass deren Produkte ein gutes Marketing haben. Freie Systeme wie Linux haben den unverdienten Ruf, komplex und unsicher zu sein.

Über die Historie der vielen Sicherheitslücken, die es bei Windows-Systemen in der Vergangenheit gab, spricht bei der Auswahl von Systemen jedoch kaum jemand. Es gibt ja auch nicht nur klassische Computer. Nehmen wir die Anzeigetafeln der Bahn, die ja ebenfalls von WannaCry außer Gefecht gesetzt worden sind. Da gibt es wenig gute Gründe, Windows als Basis dafür zu nehmen. Gerade hier bietet es sich an ein quelloffenes System zu verwenden, bei dem die Möglichkeit besteht, nicht benutzte Funktionen zu entfernen. Was nicht vorhanden ist, kann keine Fehler haben, die als Sicherheitslücken ausgenutzt werden.

„Ich bin gegen den inflationären Gebrauch des Wortes „Cyber“. Das ist ein Ausdruck fehlenden Fachvokabulars.“

Viele sprechen schon davon, dass mit diesem Angriff eine „Ära der Cyber-Katastrophen“ angebrochen sei. Teilen Sie diese Ansicht?

Ich bin gegen den  inflationären Gebrauch des Modewortes „Cyber“ in politischen Diskussionen. Ein Delikt ist eine Straftat, egal ob diese nun im Netz begangen wird oder nicht. Begriffe zwanghaft zu „vercybern“ ist ein Ausdruck fehlenden Fachvokabulars. Wir leben in einer digitalisierten Welt. Das bietet gewaltige Vorteile, aber auch eine gewisse Abhängigkeit und neue Risiken. Dieser Tatsache müssen wir uns stellen.

Ihre Partei übt seit Jahren massive Kritik an der deutschen Sicherheitspolitik. Sehen Sie sich jetzt darin bestätigt? 

Unsere Befürchtungen wurden sogar noch übertroffen. Was als blauäugiges Hineinstolpern in digitales Neuland begann, hat sich zum bewussten Einsatz von Technologien zur Massenüberwachung gewandelt. In der Summe ergibt sich das Bild einer Regierung, die alle Freiheiten der Bürger immer weiter einschränkt.

Wo noch?

Etwa im Versuch, den Verbrauchern die Wahlfreiheit bezüglich ihrer Router und deren Software zu nehmen – Stichwort Routerzwang“. Gleichzeitig wurden die Softwarefirmen und Hersteller netzwerkfähiger Geräte nicht genug in die Pflicht genommen. Die Pläne der neuen Sicherheitsbehörde ZITIS (Zentrale Stelle für Informationstechnik im Sicherheitsbereich, Anm. d. Red.) gehen sogar noch weiter: Ziel ist unter anderem das gezielte Knacken von Verschlüsselungen.

Man hat den Eindruck, die Mehrzahl der Politiker hat keine Ahnung von den Beschlüssen, die sie da fassen.

Es gibt durchaus Politiker, für die das Internet noch „Neuland“ ist. Diese lassen sich dann leider zu schnell dazu verleiten, neuen Maßnahmen oder Gesetzen zuzustimmen, die scheinbar für mehr Sicherheit sorgen. In diesem konkreten Fall aber wurde die Entscheidung, Schwachstellen zur Überwachung auszunutzen, anstatt diese zu schließen, ganz bewusst gefällt.

Zusammen genommen mit den Gesetzesentscheidungen zum Netzwerkdurchsetzungsgesetz, zur automatisierten Kennzeichenerfassung, der Fluggastdatenspeicherung  und der immer intelligenter werdenden Videoüberwachung zeigt sich immer klarer das Bild eines sich weiter vernetzenden hochkomplexen Überwachungsapparates. 

„Man sollte immer hinterfragen, wer die Politiker beraten und möglicherweise Text zugeliefert hat“

Stehen dahinter nicht auch finanzielle Interessen? 

Definitiv. Die sogenannte Sicherheitsindustrie ist ein millionenschweres Geschäftsfeld. Schnell aus der Schublade gezogene Vorschläge entstehen in der Regel nicht über Nacht und beruhen auch nicht auf einer fixen Idee eines Politikers. Viel zu oft verbirgt sich dahinter massives finanzielles Interesse von Firmen, die sich durch bestimmte Gesetze Einnahmen und Einfluss sichern möchten. Deshalb sollte man immer hinterfragen, wer die Politiker beraten und möglicherweise Texte zugeliefert hat.

Wie soll das gehen?

Durch ein umfassendes transparentes Lobbyregister, wie wir es schon lange fordern.

Die Piraten sind in keinem Landtag mehr vertreten. Bleibt derzeit nur noch die Bundestagswahl. Warum soll man Ihre Partei noch wählen?

Weil unsere Themen ganz offensichtlich aktuell sind. WannaCry ist nur ein Beispiel. Wenn die etablierten Parteien so weiter machen wie bisher, ist es nur eine Frage der Zeit, bis sich der nächste Vorfall ereignet, mit möglicherweise noch weiterreichenden Folgen. IT-Sicherheit und die Ausnutzung von Lücken für Spionage passen nicht zusammen. Neben dem Verlust der Privatsphäre ist dies ein wichtiges Argument für eine andere Politik.

Die Piraten haben für sich nie in Anspruch genommen, eine Partei für jede einzelne Lebensfrage zu sein. Wir geben wichtige Impulse in einer sich schnell verändernden Welt. Wir sehen uns als Korrektiv. Andere Länder haben dies bereits erkannt, Island etwa, aber auch das weit größere Tschechien, wo die Piraten in den Parlamenten vertreten sind.

Angenommen, die Piraten könnten jetzt uneingeschränkt handeln. Was würden Sie sofort tun?

Zuallererst würden wir die Gesamtheit der netzpolitisch wirksamen Gesetze in einer Gesamtschau intensiv auf ihre Wirkung auf unsere demokratischen Grundrechte überprüfen, anschließend öffentlich diskutieren. Und diese nach einem transparenten Dialogprozess entsprechend anpassen oder ganz abschaffen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert