Debatte, Netzpolitik
Schreibe einen Kommentar

WannaCry – Es ist einfach zum Heulen

Über Sicherheit, Updates und „niemand will mich hacken“

Ein Frühjahrswochenende kommt und auf reddit und Twitter gibt es die ersten Fotos. Keine Screenshots, sondern tatsächlich abfotographierte Bildschirme. Irgendwelche öffentlichen Bildschirme, später Abfahrtsanzeigen bei der Bahn und eine ganze Menge PCs in britischen Krankenhäusern. Was zu sehen ist, ist vom Prinzip her nichts Neues. Schadsoftware, die auf infizierten Rechnern die Daten verschlüsselt, Lösegeld für die Entschlüsselung fordert und sich über das Netzwerk weiter verteilt. Das Prinzip heißt Ransomware und war schon öfter in der Weltgeschichte unterwegs.

Festplatten verschlüsseln (und entschlüsseln) ist kein Hexenwerk. Ein halbes Jahr Programmierkurs kann da reichen. Auch Software, die sich aus dem Netz installiert, ist keine Zauberei. Der wirklich kritische Teil ist, dass die Installation selbst unbemerkt und auch ohne Zutun der Besitzer*innen der Maschinen passiert. Dafür braucht es eine Sicherheitslücke. Und hier wurde WannaCry dann spannend.

Die verwendete Lücke befand sich im Netzwerkcode von Windows und da schon seit XP – in unserem Kontext eine kleine Ewigkeit. Offiziell wird XP auch tatsächlich nicht mehr unterstützt. Es hätte sich einen Platz in digitalen Museen, und nur noch da, verdient. Es wird da draußen aber immer noch benutzt, obwohl es seit Jahren keine Updates mehr bekommt. Das ist ungefähr so, als würde ich heute noch mit einem Auto, das 1950 vom Band lief und seit 10 Jahren keinen TÜV mehr hat, in der Weltgeschichte herum fahren. Fahrlässig.

Tatsächlich waren aber auch neuere Windowsversionen betroffen. Warum? Ganz einfach: der betreffende Programmcode wurde übernommen. Ist das problematisch? Nein, der Code funktioniert ja einerseits und andererseits kann so erreicht werden, dass sich die betroffenen Betriebssystemkomponenten über die Versionen hinweg gleich verhalten. Was durchaus wünschenswert sein kann. Das Problem entstand aber nicht hier: Die Lücken waren Microsoft bekannt, es gab einen Patch, aber Microsoft hielt die Lücke nicht für ausreichen kritisch und hat sie also nicht direkt geschlossen, sondern wollte den üblichen Updatezyklus abwarten. Wird oft so gemacht, und geht wohl auch oft gut. In diesem Falle nicht.

Ein weiteres Detail der Lücke ist etwas ganz anderes. Sie war bekannt. Nicht der Öffentlichkeit, aber der NSA. Dort wurde sie vermutlich über Jahre immer wieder genutzt. Die Shadowbrokers, eine Hackergruppe, haben im Laufe des letzten halben Jahres zahlreiche Programme und Programmbestandteile der NSA veröffentlicht. Darunter auch die Lücke, die jetzt für WannaCry benutzt wurde.

Wo führt uns das jetzt hin? Zunächst, WannaCry ist hier nur ein Symptom. Hier ist vieles tatsächlich zum Weinen. Es ist Zeit über Updates, über Sicherheit und über Verantwortung zu reden. Zeit zu diskutieren, wer warum Ziel von welcher Schadsoftware wird. Und es ist erst recht Zeit, das so zu tun, dass alle, die Technik nutzen, auch verstehen, worum es geht. Zeit, diese Debatte so zu führen, dass sie außerhalb des CCC, des ChaosComputerClubs, verstanden wird, außerhalb der Piratenpartei, außerhalb eines Informatikstudiengangs. Hier geht es nicht um Programmcode. Hier geht es nicht um Software. Hier geht es nicht um Informatik.

Hier geht es um den Umgang mit Sicherheitslücken. Ist es legitim, wie die Shadowbrokers Sicherheitslücken zu veröffentlichen? Ist es legitim, sie auszunutzen? Wenn ich die NSA bin? Wenn ich Lösegeld erpressen will? Darf ich Patches zurückhalten, um sie an einem regulären Patchday auszuliefern? Darf ich das Wissen über eine Lücke für mich behalten? Müsste ich sie öffentlich machen? Den Hersteller*innen bekannt geben?

Und: Warum kann ich dazu irgendetwas fundiertes sagen?

Einfachere Fragen zu erst: Wenn ich nicht für den SPUNK schreibe, studiere ich Informatik. Meine Bachelorarbeit habe ich zu Dingen mit Krypto geschrieben. Die Person, die diesen Artikel schreibt, sitzt dabei auf einem der größten Events des CCC. Beides kann zumindest den Verdacht nahe legen, dass ich zu der Thematik irgendeinen Zugang habe.

Jetzt die schwierigere Frage: Wer darf mit Sicherheitslücken etwas tun? Was sollte mit Sicherheitslücken getan werden?

Im Idealfall sollten Sicherheitslücken geschlossen werden. Die entsprechenden Updates sollten soweit möglich auch automatisch installiert werden. Mehrere weniger kritische Patches können gebündelt und dann jeweils wöchentlich oder einmal im Monat herausgebracht werden. Bei dieser Einstufung kann es immer mal wieder passieren, dass, wie jetzt bei WannaCry Lücken genutzt werden, die eigentlich schon geschlossen sind. Andererseits ist alleine das Bespielen der Updateinfrastuktur schon eine sehr aufwendige Angelegenheit und bevor Lücken dann deswegen gar nicht geschlossen werden, sollte auf regelmäßige Patchdayy zurück gegriffen werden. Diese bieten dann auch den Vorteil, dass Systeme, die sich nicht selbst aktualisieren können oder sollen, einfach auf dem Stand gehalten werden können, indem immer zum Stichtag händisch überprüft wird, ob es Aktualisierungen gibt.
Das klingt jetzt aber doch eher technisch? Ja. Das sollte auch nicht in der Verantwortung der Benutzer*innen liegen. Das sollte die Policy von Softwarehersteller*innen sein.

Sicherheitslücken behalten, um sie weiter zu nutzen, halte ich in keinem Falle für legitim. Egal, wer sie findet, egal zu welchem Zweck, sollte die Informationen darüber zeitnah auf geeigneten Kanälen an Menschen weitergeben, die in der Lage sind, diese Probleme zu beheben. Immer. Wer rechtlich dazu befugt ist, dem bleibt immer die Übergangszeit, bis die Lücke geschlossen ist, um sie zu nutzen. Weiterhin vermeidet das ein böses Erwachen wie mit den Shadowbrokers. Wären die Lücken alle an Microsoft gemeldet worden, hätte sie im Nachhinein niemand mehr für irgendwelchen Schabernack benutzen können. Dieser Hinweis geht an Menschen, die Sicherheitslücken finden – auch als eine Idee, wie ein Umgang hier sinnvoll wäre.

Jetzt zur Nutzer*in. Was sollte die tun? Updates installieren, wenn sie zur Verfügung stehen. Punkt. Ja, manchmal kommen neue Funktionen hinzu, die unpraktisch erscheinen, manchmal gehen Updates auch schief und Programme stehen dann erstmal nicht mehr zur Verfügung. Alles richtig. Aber der beste Weg, Sicherheitslücken auf dem eigenen System zu vermeiden, sind Updates.
Noch ein Nebensatz zu „wenn ich Updates installiere, kommen da immer 100 Funktionen hinzu, die ich gar nicht brauche“ zu „meine Software ist gut, so wie sie ist“ – ich sehe das Problem dabei. Das ist ein Kompromiss. Und es ist der beste, den wir haben können. Wenn wir uns aus Bedenken, dass die Software für uns schlechter wird, um Updates drücken, behalten wir auch alle sicherheitskritischen Probleme. Entwickler*innen andererseits verpflichten, Sicherheitslücken auch in alten Versionen zu beheben, würde riesigen Aufwand bedeuten. Zeit und Energie, die letzlich in einem besseren Programm landen könnte, würde daran verbraucht, Probleme in einem halbfertigen Stück Software zu umschiffen, das vermutlich kaum noch wer benutzt.

Wer sich jetzt in Sicherheit wiegt, wer glaubt, ich bin langweilig, ich habe keine wertvollen Daten, wer interessiert sich für meine Selfies, der sei ganz trocken gesagt. Es geht nicht um dich. Es geht darum, dass deine Technik einerseits angreifbar ist und dass du sie andererseits benutzen willst. Das ist wie ne Erkältung. Das Virus kommt nicht zu dir, mit der Absicht, dich zu töten, es ist einfach da und wenn genug davon bei dir landen, HATSCHI! Genauso ist das auch mit mit irgendwelchen Schadprogrammen. Sie suchen nicht dich, sie suchen sich einfach irgendeine Maschine, auf der sie eindringen können.

Die ganze Geschichte ist von vorne hinten wirklich zum Weinen. Menschen benutzen jahrzehntealte Software, die einfach nicht fürs hier und heute geschaffen ist. Anderorts werden Updates verschlafen, Sicherheitslücken nicht gemeldet oder Updates nicht installiert. Alles absichtlich und vorsätzlich. Es ist zum Weinen.

WannaCry? Me too!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.