- „Cybersicherheit ist ein Drahtseilakt“
Die Schadsoftware „WannaCry“, mit der Hacker Unternehmen und Privatleute erpressen wollten, hat weltweit Hunderttausende Computer betroffen. Der IT-Sicherheitsberater Uwe Kissmann erläutert im Interview, wie man sich davor schützen kann und warum das so viele versäumen
Herr Kissmann, die weltweite Cyber-Attacke „Wanna Cry“ hat Institutionen, Krankenhäuser und Firmen in 100 Ländern getroffen. Wie beurteilen Sie das Ausmaß der Attacke?
Gemessen an der Verbreitung und vor allem den ökonomischen Auswirkungen ist dies eine der größeren Cyber-Attacken, die wir bislang erlebt haben. Zu oft wird die Gefährdung durch Cyberattacken immer noch als Panikmache abgestempelt. Nun erleben wir aber ganz unmittelbar, was geschehen kann.
Nun hat es zuletzt vermehrt ähnliche Attacken gegeben. Woher kommt diese Zunahme?
Bei der Analyse von Schadsoftware und der Entwicklung von Verteidigungsmaßnahmen für unsere Kunden beobachten wir, dass die Attacken professioneller geworden sind und sich technisch viel einfacher ausführen lassen. Die organisierte Cyber-Kriminalität entwickelt sich so zu einem äußerst lukrativen Geschäft.
Funktionieren denn die Erpressungsversuche? Lassen sich genug Leute darauf ein, mit Bitcoins die Forderungen zu bezahlen?
Es scheint so zu sein, dass einige Leute durchaus bezahlen. Verwunderlich sind aber die relativ geringen Summen, die von den Erpressern gefordert werden.
Wodurch unterscheidet sich „Wanna Cry“ von anderen Attacken?
Die hinterlegte Technologie unterscheidet sich eigentlich kaum. Das ist mehr oder weniger das gleiche Muster. Außergewöhnlich ist die breite Abdeckung der Ransomware, also der Schadsoftware, die wichtige Dateien verschlüsselt. Solche Ransomware wird häufig über Phishing-Emails eingefangen. Im vorliegenden Fall wurden aber nur relativ wenige solcher Mails gefunden. Vielmehr sieht es so aus, dass ein Großteil der Ransomware durch ungepatchte Server aufgelesen wurde, welche direkt mit dem Internet verbunden sind.
Wie kommt denn die Schadsoftware auf meinen Rechner?
Meist schickt man Ihnen eine Mail, der ein Dokument anhängt oder in der ein Link steht, der auf einen infizierten Server führt. Darüber installiert sich dann der schädliche Code. Dieser Code nistet sich dann in Ihren Dateien ein und versetzt sie mit einem Verschlüsselungs-Algorithmus. Dann erhalten Sie eine Mail, in der Ihnen mitgeteilt wird, dass Sie bezahlen müssen oder die Daten im Nirvana verschwinden.
Was kann man denn dagegen tun?
Vorbeugen! Es hat sich auch bei „WannaCry“ gezeigt, dass Systeme, die rechtzeitig gepatcht wurden, also ein Sicherheitsupdate bekommen hatten, nicht betroffen waren. Man sollte also sämtliche Updates für seine Programme auch bitte installieren, und das möglichst automatisch.
Und wenn ich das nicht getan habe?
Dann gehen Sie zu Ihrem Aktenschrank, holen Ihre USB-Sticks oder CDs heraus, auf denen sich Ihre Backup-Dateien befinden und spielen diese wieder auf Ihren Rechner. Davor müsste aber ihr Rechner komplett gereinigt worden sein. Die Bedingung dafür ist natürlich, dass Sie regelmäßige Backups erstellt haben.
Die infizierten Daten sind aber nicht mehr zurückzuholen?
Im Regelfall nein. Es kann natürlich sein, dass im Laufe der Zeit für diesen Fall eine Entschlüsselungssoftware auftaucht. Das muss aber eben nicht der Fall sein.
Und wenn ich die Erpresser tatsächlich bezahle? Das haben einige Experten empfohlen.
Das würde ich nicht tun. Erstens würden Sie damit auf die Forderungen von Verbrechern eingehen und diese finanziell in die Lage versetzen, in noch größerem Umfang aktiv zu werden. Zweitens gab es aber auch viele Fälle, in denen trotz Zahlung Daten nicht wiederhergestellt wurden.
Nun war die Sicherheitslücke schon bekannt, Microsoft hat zum 14. März einen Sicherheitspatch herausgegeben. Wie kann es sein, dass große Firmen wie der britische Gesundheitsdienst oder die Deutsche Bahn ihre Software nicht auf den neuesten Stand gebracht haben?
Viele mittlere und große Unternehmen nutzen sogenannte Legacy-Applikationen. Das sind Programme, die teilweise vor Jahren installiert wurden, von ihren Herstellern meist schon lange nicht mehr gewartet werden, aber immer noch täglich in Benutzung sind – nach dem Motto „Never touch a running system“. Man hat Angst, dass diese Programme nicht mehr funktionieren, wenn man die Sicherheitsupdates installiert und benötigt viel Zeit, dies zuvor auszutesten.
Laut Medienberichten hat jemand die Software mittlerweile deaktiviert. Auch ist die Lücke jetzt bekannt. Ist damit alles ausgestanden?
Definitiv nicht. Es gibt bestimmt hunderttausende Systeme, die noch nicht gepatcht sind. Und viele davon werden es auch nicht, denn die Leute vergessen doch sehr schnell, wie gefährlich das ist. Die ungeschützten Rechner bieten dem Code weiterhin eine Möglichkeit, sich zu verbreiten. Es kann also durchaus Attacken nach genau dem gleichen Muster geben
Nun ist die vergrößerte Gefahr ja auch eine Folge der vergrößerten Vernetzung. Wie kann es gelingen, einerseits deren Vorteile zu bewahren, andererseits aber die Risiken so klein wie möglich zu halten?
Das ist das Grundproblem der modernen Cyber-Sicherheit. Es ist ein Drahtseilakt, sich einerseits der Digitalisierung zu öffnen und sich andererseits vor Attacken zu schützen. In der Realität werden oftmals Digitalisierungsmaßnahmen getroffen, ohne gleichzeitig über die Sicherheitsaspekte nachzudenken. Ein professionell aufgesetztes Digitalisierungsprojekt macht wirkungsvolle Cybersecurity jedoch von Anfang an zu einem wichtigen Bestandteil. Nur so lässt sich gewährleisten, dass Sicherheit wirkungsvoll ist und auch zu moderaten Kosten eingebunden wird.
Uwe Kissmann leitet bei der Firma „Accenture“ das Europageschäft mit IT-Sicherheitslösungen