Microsoft: NSA und CIA für WannaCry-Attacke mitverantwortlich

Microsoft-Präsident Brad Smith (Bild: Microsoft)

Bereits im Februar hatte Microsofts Chefanwalt Brad Smith die Einrichtung einer internationalen Kontrollbehörde vorgeschlagen. Jetzt macht er die Bevorratung von Sicherheitslücken durch NSA und CIA für die aktuellen Ransomware-Vorfälle mitverantwortlich.

Microsofts Chefanwalt Brad Smith hat die seit Freitag für Aufsehen sorgende, weltweite Ransomware-Attacke mit der als WannaCry oder auch als WanaCrypt0r 2.0 bezeichneten Malware zum Anlass genommen, um seine bereits im Februar vorgebrachte Forderung nach einer “Digitalen Genfer Konvention” zu erneuern. Smith forderte damals US-Präsident Trump auf, zusammen mit Russland neue Normen für den Cyberspace zu etablieren. Seiner Vorstellung nach sollen mit dem auszuarbeitenden Vertragswerk Zivilisten vor staatlich gesteuerten Cyberkriegsaktivitäten geschützt werden. Die einzurichtende Kontrollbehörde könnte sich an der Internationalen Atomenergie-Organisation (IAEO) orientieren.

Microsoft-Präsident Brad Smith (Bild: Microsoft)
Microsoft-Chefanwalt Brad Smith (Bild: Microsoft)

Smith begründete seine Forderung bereits im Februar damit, dass Geheimdienste zunehmend nach Sicherheitslücken in Software suchen und lange Zeit für sich behalten oder Informationen dazu auf dem Markt aufkaufen und sie dann unter Verschluss halten. Damit erschwerten sie es Herstellern und IT-Sicherheitsunternehmen für die Sicherheit ihrer Kunden zu sorgen. Sorge bereitet Smith vor allem die Gefahr, dass derartige Sicherheitslücken an Kriminelle durchsickern und dann in großem Umfang von ihnen genutzt werden könnten.

Genau das ist jetzt im Fall von WannaCry respektive WanaCrypt0r 2.0 geschehen. Die von der Malware ausgenutzte Schwachstelle, die als ETERNALBLUE oder MS17-010 bekannt ist, wurde ebenso wie die Schadsoftware Doublepulsar oder inzwischen geschlossene Lücken in Firmware von Cisco nach Diebstahl und Veröffentlichung von Hacking Tools bei der NSA öffentlich bekannt.

Twitter-Nutzer haben die Ransomware auch bei Rechnern der Deutschen Bahn entdeckt - hier in Wiesbaden (Screenshot: silicon.de bei Twitter)
Nutzer veröffentlichten bei Twitter zahlreiche Fotos die zeigen, dass die Ransomware WannaCry auch bei Rechnern der Deutschen Bahn zugeschlagen hat (Screenshot: silicon.de bei Twitter)

Microsoft hatte bereits im März einen als “kritisch” eingestuften Patch bereitgestellt, der die von WannaCry ausgenutzte Lücke schließt. Allerdings wurden Sicherheits-Updates für die eigentlich nicht mehr unterstützten Betriebssysteme Windows XP, Windows 8 und Windows Server 2003 erst am späten Freitagabend zur Verfügung gestellt. Rechner, die noch damit laufen, finden sich vielfach immer noch in Firmen, etwa bei der Deutschen Bahn, Einrichtungen des britischen Gesundheitswesens oder auch Providern wie dem spanischen Konzern Telefónica. Sie alle wurden damit auch Opfer der Attacke.

Bereits im Februar hatte Microsoft-Anwalt Smith vorgeschlagen, dass einem zu bildenden, unabhängigen Kontrollgremium, Experten aus der Privatwirtschaft und dem öffentlichen Sektor angehören sollten. Ihre Aufgabe wäre es dann, Cyber-Attacken gemeinsam zu untersuchen. Die Technologiebranche solle dabei ähnlich unparteiisch und uneigennützig Hilfe leisten, wie es in Kriegsgebieten das Rote Kreuz tut. Schließlich gehöre der Cyberspace der Privatwirtschaft und werde von ihr betrieben.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Gleichzeitig solle das Gremium dafür sorgen, dass staatliche Cyberaktivitäten nicht gegen privatwirtschaftliche Einrichtungen gerichtet werden. Als ein Beispiel dafür nannte er damals unter anderem den Angriff auf Sony Pictures vor gut zwei Jahren. Er war laut Smith ein Wendepunkt, sei doch erstmals ein privatwirtschaftliches Unternehmen angegriffen worden, weil es sich zum Recht auf Meinungsfreiheit bekannt habe.

Ausdrücklich verurteilt Smith jetzt auch noch einmal den Umgang staatlicher Stellen mit dem Wissen um Sicherheitslücken scharf: “Schließlich ist dieser Angriff ein weiteres Beispiel dafür, warum die Bevorratung von Schwachstellen durch Regierungen so ein großes Problem ist. Das ist ein Muster, das sich 2017 immer stärker abgezeichnet hat. Wir sahen, wie von der CIA gesammelte Sicherheitslücken bei WikiLeaks auftauchten und jetzt hat eine bei der NSA gestohlene Sicherheitslücke Kunden rund um die Welt geschadet.”

Mehr zum Thema

Microsoft, T-Systems und das Datentreuhändermodell

Deutsche Unternehmen standen Cloud-Angeboten von Microsoft bisher skeptisch gegenüber. Nun soll ein komplexes Vertragswerk Bedenken ausräumen. Dabei übernimmt T-Systems die Rolle als Datentreuhänder. Doch wie funktioniert dieses Konstrukt im Detail?

Smith weiter: “Wiederholt sind Exploits aus den Händen von Regierungen in die Öffentlichkeit gelangt und haben weitreichenden Schaden verursacht. Ein vergleichbares Beispiel mit konventionellen Waffen wäre etwa, wenn dem U.S. Militär einige ihrer Tomahawk-Marschflugkörper gestohlen würden.”

Seiner Ansicht nach stellt die WannaCry-Atacke einen zwar nicht beabsichtigte aber besorgniserregende Verbindung zwischen den beiden gefährlichsten Formen von Gefahren für die Cybersicherheit her: Aktivitäten von staatlichen Stellen und dem organisierten Verbrechen.

Regierungen weltweit sollten die WannaCry-Attacke daher als Weckruf verstehen. “Sie müssen ihre Einstellung ändern und auf Waffen für den Cyberspace dieselben Regeln anwenden, die für Waffen in der physischen Welt gelten. Regierungen müssen über den Schaden für die Zivilbevölkerung nachdenken, der durch die Bevorratung von Schwachstellen und der Nutzung der dafür gedachten Exploits entsteht.”

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.