Am vergangenen Freitag spielte sich einer der bedeutendsten Cyber-Angriffe der letzten Jahre ab. Der sogenannte WannaCry Trojaner schlug zu. Zunächst befiel er Computersysteme in britischen Krankenhäusern, was teilweise zu erheblichen Einschränkungen bei der Behandlung von Patienten führte. In Deutschland sorgte WannaCry für Schlagzeilen, weil es das Abfahrtsinformation der Bahn störte und einige Anzeigetafeln an Bahnhöfen ausfallen ließ.
Heute ist klar, dass sich der WannaCry Trojaner nach seinem ersten Angriff weltweit ausgebreitet und ca. 45.000 – 75.000 Computer außer Gefecht gesetzt hat. Die meisten davon in Russland, der Ukraine und Taiwan. Doch auch in Europa und den USA richteten die Trojaner-Angriffe zum Teil erhebliche Schäden an.
Trojaner verbreitet sich über Internet und Netzwerke
Der Trojaner greift Windows Systeme an, die unzureichend geschützt sind. Gemeint sind Installationen, auf die nicht aktuelle Sicherheitsupdates eingespielt wurden. Besonders das alte Windows XP, dessen Support von Microsoft längst eingestellt wurde, ist oft betroffen.
WannaCry greift die Windows Computer direkt über das Internet an. Sofern kein Schutz besteht (weil z.B. keine Updates / Patches eingespielt wurden), hat die Schadsoftware leichtes Spiel. Das Schlimme dabei: Ist der Computer in ein Netzwerk eingebunden, verbreitet sich der Trojaner darin unmittelbar. Dies ist der Grund, weshalb WannaCry einen solch erheblichen Schaden anrichten konnte.
Auf den Computer sucht er nach Dateien, um sie zu verschlüsseln. Nutzern wird Abhilfe versprochen, wenn sie ein Lösegeld in Bitcoin zahlen, dessen Gegenwert derzeit bei rund 300 US-Dollar liegt. Sogenannte Verschlüsselungstrojaner werden auch als Ransomware bezeichnet. Ob die Zahlung zu einer Entschlüsselung führt, ist bislang nicht gewiss.
Die Verbreitung von WannaCry wurde inzwischen gestoppt. Dies ist dem Entwickler des Trojaners zu verdanken, der einen simplen Schalter zu Deaktivierung integrierte. Die Registrierung einer Domain genügte, um den Trojaner zu entschärfen.
Spuren führen zur NSA
Inzwischen haben sich zahlreiche Experten für IT-Sicherheit den Trojaner angesehen und seinen Code studiert. Für sie steht fest, dass der Trojaner einen Exploit (eine Sicherheitslücke) in Microsoft Systemen nutzt, die lange Zeit der NSA bekannt war. Die amerikanische Sicherheitsbehörde nutzt Schwachstellen in Betriebssystemen schon seit längerer Zeit, um diese zu infiltrieren und sich z.B. Zugriff auf Daten zu verschaffen. Gefundene Sicherheitslücken werden für eigene Angriffe genutzt und somit Microsoft oder anderen Entwicklern nicht gemeldet.
Erst im April war die Lücke öffentlich bekannt geworden. Eine Hackergruppe scheint Einblicke in die Vorgehensweise der NSA gewonnen zu haben und machte eine Vielzahl an Dokumenten und insbesondere genutzten Exploits publik. Unter den veröffentlichten Exploits befand sich auch die Sicherheitslücke, die WannaCry für seine Verbreitung nutzt. Interessant ist, dass Microsoft die Sicherheitslücke schon kurz vor der Veröffentlichung schloss und Updates ausspielte. Womöglich wurde Microsoft von der NSA gewarnt.
Viele Nutzer warten mit Sicherheitsupdates zu lange
Dass trotzdem so viele Computer befallen wurden, hat zwei Gründe. Zum einen dauert es im Durchschnitt immer noch viel zu lange, bis Computerbesitzer ihre Betriebssysteme patchen. Sicherheitsupdates werden meist nur in großen Abständen eingespielt. Zum anderen hat der bislang unbekannte Angreifer nicht lange gezögert und den Windows Exploit rasch ausgenutzt.
Bedeutung von WannaCry für den Datenschutz
Im Hinblick auf den betrieblichen Datenschutz sind derartige Trojaner-Angriffe von höchster Brisanz. Damit Daten (insbesondere solche mit Personenbezug) ausreichend geschützt sind, müssen IT-Systeme ein hohes Maß an Sicherheit gewährleisten. Leider ist dies in zahlreichen Unternehmen nicht der Fall. Viel zu oft wird die Datensicherheit immer noch stiefmütterlich behandelt, wodurch Angreifer leichtes Spiel haben.
In diesem Fall wurden Daten der Opfer lediglich verschlüsselt, jedoch nicht entwendet. Dennoch hätte es anders laufen können. Dann wäre der Schaden womöglich größer gewesen, vor allem wenn Daten in die falschen Hände gelangen und es daraufhin zum Datenmissbrauch kommt.
Zusammengefasst gilt, dass viele Unternehmen ihre Datensicherheit und IT-Sicherheit stärker ernst nehmen müssen. Der WannaCry Trojaner hat gezeigt, wie entscheidend es ist, Sicherheitsupdates zeitnah einzuspielen und auch sonst gute Sicherheitseinstellungen (insbesondere im Netzwerk) vorzunehmen, damit Dateien und Daten bestens geschützt sind. Im Übrigen ist dies lediglich der Aspekt der IT-Sicherheit. Konzepte der Datensicherheit reichen noch weiter und regeln u.a. welche Mitarbeiter Zugriff auf bestimmte Arten von Daten haben.