Die Auswüchse des WannaCry-Kryptowurms

Die Panik war groß, als vor vier Jahren, am 12. Mai 2017, eine neue Schadsoftware mit dem Namen WannaCry auftauchte. Es gelang dem Programm innerhalb von kürzester Zeit mehr als 230.000 Rechner in 150 Ländern weltweit zu befallen. Unter den Opfern des Angriffs waren namenhafte Organisationen wie die Deutsche Bahn, das britische Gesundheitswesen (NHS) und sogar zwei russische Ministerien. Das Prinzip war simpel: Durch eine kürzlich bekanntgewordene Hintertür konnten Windows-Rechner, die nicht über die nötigen Updates verfügten, befallen werden. Anschließend versuchte sich der Netzwerkwurm auf weiteren anfälligen Rechnern im selben Netzwerk zu verbreiten, bevor er dazu überging auf dem eigentlichen Computer seinen Schaden anzurichten. Dabei wurden so gut wie alle Dateien verschlüsselt, die sich auf der Festplatte und angeschlossenen Speichergeräten befanden, sodass die eigentlichen Benutzenden keinen Zugriff mehr darauf hatten. In einem Fenster wurde man anschließend dazu aufgefordert innerhalb von drei Tagen etwa 300 USD in der Kryptowährung Bitcoin als Lösegeld an die Erpressenden zu bezahlen, um den Zugriff auf die eigenen Dateien zurückzuerhalten. WannaCry zählt damit zur sogenannten Ransomware.

In Großbritannien mussten Krankenwagen umgeleitet und Patient:innen mit nicht lebensbedrohlichen Problemen an Krankenhäusern abgewiesen werden; bei der Deutschen Bahn fielen diverse Anzeigetafeln an Bahnhöfen und sogar eine regionale Leitstelle aus; und in vielen Unternehmen weltweit stand die Produktion still. Die wirtschaftlichen Schäden werden auf bis zu 4 Mrd. USD geschätzt, allein beim NHS sollen sie sich auf bis zu 92 Mio. Pfund belaufen.

Durch großes Glück konnte die Verbreitung der Schadsoftware noch am selben Tag eingedämmt werden, als ein Forscher einen Notausschalter des Programms fand und die nötigen Schritte einleitete, um diesen auszuführen. Es begann ein Katz- und Mausspiel zwischen den Hacker:innen und Cybersicherheits-Forschenden weltweit um immer wieder neue Kill Switches. Bis schließlich zwei Tage später eine Version verbreitet wurde, die keinen Kill Switch mehr besaß. Bis zu diesem Zeitpunkt waren allerdings viele verwundbare Systeme schon durch die nötigen Updates geschützt worden, sodass die Ausbreitung eingedämmt werden konnte. Ohne die Entdeckung des Kill Switches hätte das Ausmaß des Angriffs noch wesentlich größer werden können. Doch trotz allem kam es auch in den folgenden Jahren immer wieder zu Ausbrüchen, wie zum Beispiel bei einem Taiwanesischen Chip-Produzenten im August 2018.

Doch wie konnte es überhaupt erst so weit kommen? Im Nachhinein wurden viele brisante Details bekannt, die sich wie ein internationaler Thriller lesen. Die Sicherheitslücke, über die sich WannaCry verbreitete, war vom US-amerikanischen Geheimdienst NSA entdeckt und über mehrere Jahre zur Spionage verwendet worden. Erst nachdem der NSA bekannt wurde, dass die Informationen um die Sicherheitslücke gestohlen worden waren, wurde Microsoft informiert. Diese veröffentlichten schnellstmöglich Mitte März 2017 einen Patch, um die Lücke zu schließen. Im April 2017 wurde der Exploit dann von einer Hackergruppe, die sich “The Shadow Brokers” nennt, öffentlich gemacht. Als der Cyberangriff schließlich fast zwei Monate nach dem Erscheinen des Patches losging, hatten viele Systeme trotzdem nicht die nötigen Updates installiert und waren dadurch gefährdet. In den folgenden Monaten und Jahren gab es immer wieder ähnliche Angriffe, die dieselbe Sicherheitslücke erfolgreich ausnutzen konnten (z. B. NotPetya), und es wurde geschätzt, dass selbst 2018 weltweit noch Millionen Systeme anfällig waren.

Der Ursprung des WannaCry-Wurms selbst wurde anhand einiger Indizien auf die nordkoreanische Lazarus-Gruppe zurückgeführt und im Dezember 2017 wurde dann Nordkorea von der US-Regierung offiziell für den Angriff verantwortlich gemacht.

Das weltweite Ausmaß der WannaCry-Attacke zeigt deutlich, dass es beim Thema IT-Sicherheit an jeder einzelnen Person oder Organisation liegt, sich effektiv gegen Cyberangriffe zu schützen. Denn nur Systeme, die das Sicherheits-Update auch nach zwei Monaten noch nicht erhalten hatten, waren überhaupt erst für den Angriff anfällig.

Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Arne Schönbohm brachte es auf den Punkt: “Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.”¹

Ein effektiver Eigenschutz sollte daher immer darin bestehen, nötige Sicherheits-Updates zeitnah vorzunehmen und regelmäßige Backups zu machen. Die Datenträger der Backups dürfen dann natürlich nur während des Backups mit dem Internet verbunden sein, um im Falle eines Angriffs nicht auch befallen zu werden. Dazu sollte jede Person einen bewussten Umgang mit anderen Angriffswegen haben, wie zum Beispiel Phishingangriffe über E-Mails. Nur so kann gewährleistet werden, dass die eigene Organisation nicht von der nächsten Angriffswelle erfasst wird.

_{¹Zivadinovic, D. (2017, 13. Mai). WannaCry: BSI ruft Betroffene auf, Infektionen zu melden. heise online. www.heise.de/newsticker/meldung/WannaCry-BSI-ruft-Betroffene-auf-Infektionen-zu-melden-3713442.html}