Der Aufschrei über WannaCry war laut, die Schuldzuweisungen schnell, die Folgerungen meist falsch.
Nachdem ich selbst keinen einzigen Artikel, weder in Magazinen wie Spiegel, Golem etc. noch in „Experten“-Publikationen lesen konnte, der alle bekannten Fakten klar und deutlich anführte, möchte ich dies nun nachholen.
Was ist geschehen?
Am Freitag, den 12.05.2017 wurden Mails gespammt, die einen Link enthielten. Beim Anklicken dieses Links wurde eine Software heruntergeladen, die auf Windows-Rechnern zwei Prozesse startete:
- Verschlüsselung der lokalen Festplatte(n) und anschliessende Anzeige der Lösegeld-Forderung
- Selbstverbreitung im Netzwerk mit dem Ziel, weitere Rechner zu befallen.
So weit die Fakten zu WannaCry. Wie kam es dazu?
- Benutzer von (nicht nur Windows-)PC sind mehrheitlich geneigt, auf angebotene Links zu klicken. Damit wurde das Herunterladen des Schädlings ermöglicht. Der Fehler saß also direkt vor dem Monitor. Ohne sein Zutun wäre nichts passiert.
- Es gibt einen Bug in mehreren Windows-Generationen ab Windows XP im Bereich der Datei-Freigaben. Die NSA hatte diesen Bug irgendwann vor 2015 entdeckt und diese Erkenntnis für sich behalten, um den Fehler selbst auszunutzen.
- Die Hacker-Gruppe namens Shadow Brokers „besuchte“ die NSA und erbeutete mehrere Werkzeuge, mit deren Hilfe die NSA Rechner überwachen und manipulieren konnte. Dazu gehörte ein Werkzeug namens „EternalBlue“, das die Sicherheitslücke in Windows ausnutzte.
Dies wurde von seitens Shadow Brokers öffentlich bekannt gemacht. Nun erst erkannte Microsoft den Fehler (Alternativ: nun erst reagierte Microsoft) und veröffentlichte im März 2017 einen entsprechenden Patch. Es gibt Vermutungen, die implizieren, dass Microsoft den Bug bereits kannte.
Wer ist schuld?
Jeder zeigt nun auf jeden. Aber: Software wird niemals fehlerfrei sein. Microsoft hat, nachdem Dritte auf den Programmierfehler aufmerksam machten, gehandelt. Die NSA hat ihren eigenen Vorteil über das Gemeinwohl gestellt, was man einer nationalen Geheimdienst-Organisation nicht verübeln sollte. Ob die derzeit frisch aufgebaute Cyber-Bundeswehr anders gehandelt hätte, lässt sich nicht sagen.
Wer war noch im Spiel?
Ach ja: der Nutzer. Und die Admins. Und die Geschäftsleitung.
- Die Nutzer haben reflexartig mit der Maus auf den Link geklickt. Das hat das kleine Tierchen nicht von allein beschlossen.
- Die Admins haben das seit März verfügbare Security-Patch von Microsoft nicht eingespielt. Das hätte man ihnen ja auch sagen können.
- Die Geschäftsleitung blickt eher auf kurzfristige Gewinne als auf dauerhaft stabile IT. Läuft doch alles. Oder? Also kein Grund, in Sicherheit zu investieren. WannaCry? Das betrifft uns doch nicht.
Das alles sind FEHLER beim MENSCHEN. Einen grossen Teil dieser Fehler kann man im Bereich Problem-Bewusstsein suchen. Damit sind wir beim Thema Aus- und Weiterbildung.
Problembewusstsein – wer braucht das schon?
Ich erinnere mich an die vom Bundeswirtschaftsministerium geförderte Maßnahme „eCOMM“ (Kompetenzzentrum für elektronischen Geschäftsverkehr) und deren Nachfolger eBusiness-Lotsen, zu deren „Eltern“ z.B. die damalige Technologie-Stiftung Berlin, die Industrie- und Handelskammer sowie die Handwerkskammer und später ein Fraunhofer-Institut gehörten. Inhaltlich wurde das Projekt weitgehend von Fachleuten aus der Praxis getragen, zu denen ich auch mich selbst zählen durfte.
Um den langjährigen Projektleiter Michael Stamm (damals TSB) zu zitieren: „Zu unseren wichtigsten Aufgaben gehört die Schaffung von Awareness“. Ich übersetze das mal mit „Problembewusstsein schaffen“. Das ist uns über mehr als zehn Jahre erfolgreich gelungen, wie die regelmässigen Audits bewiesen. Leider wurde die öffentliche Förderung eingestellt, was zur Folge hatte, dass die Partner sich verabschiedeten. Weder die Kammern noch die in die Berliner Wirtschaftsförderung aufgegangene TSB hatten nun noch Interesse am Thema.