STANDARD: Der Computerwurm Wannacry befiel im Mai hunderttausende Rechner weltweit. Cyberkriminelle benutzen derartige Ransomware, mit der sie Daten von Nutzern verschlüsseln, um Lösungsgeld zu erpressen, schon seit Jahrzehnten. Bei Wannacry überraschte aber die unglaublich rapide globale Ausbreitung. Wie war das möglich?

Skopik: Die Art der Infektion war eine andere. Bisher ging die Bedrohung typischerweise von E-Mails aus, bei denen ein Attachment oder Link im Mail aktiv angeklickt werden musste, um den Wurm zu aktivieren. Bei Wannacry wurde dagegen eine Schwäche in den Microsoft-Betriebssystemen Windows XP 8.1 und Server 2008 ausgenutzt. Für die Infektion eines Computers war kein Zutun eines Nutzers erforderlich.

STANDARD: Wie funktionierte die Ausbreitung genau?

Skopik: Konkret nutzte das Schadprogramm eine Schwachstelle in einem Systemteil aus, der die Datei- und Druckerfreigabe managt. Befiel der Wurm einen Computer, scannte er automatisch das verknüpfte Netzwerk und verbreitete sich auf den gefundenen Geräten selbstständig weiter. Dazu kommt, dass die Schwachstelle erst wenige Wochen davor bekannt wurde und zum Teil noch keine entsprechenden Updates vorlagen. Das erklärt die schnelle Verbreitung.

STANDARD: Marcus Hutchins, ein 22-jähriger britischer IT-Techniker, wird für die Abwehr der Cyberattacke gefeiert. Er hat eine Internetadresse registriert, die in dem Schadprogramm vorkam. Warum hat gerade diese Aktion den Wurm gestoppt?

Skopik: Hutchins erklärt in seinem Blog, dass es eigentlich Zufall war: Er hat erkannt, dass der Wurm eine bestimmte Internetadresse zu erreichen versucht. Nachdem er die Adresse registriert hatte, verzeichnete er innerhalb weniger Minuten tausende Zugriffe darauf. Die Malware versuchte offenbar die Adresse zu erreichen, bevor sie Dateien lokal verschlüsselte. Man vermutet, dass das eine Art Kill-Switch, also eine absichtlich eingebaute Notbremse war, um die Verbreitung stoppen zu können.

STANDARD: Es wurde bekannt, dass die Sicherheitslücke von der NSA bereits jahrelang zu Spionagezwecken genutzt wurde, bevor sie in die Hände der Kriminellen gelangte. Wie sehen Sie die Rolle des US-Geheimdienstes in der Sache?

Skopik: Die NSA hat diese Schwachstelle entweder entdeckt oder zugekauft, um sie für ihre Interessen zu verwenden. Die Vorgangsweise mag im Interesse des Geheimdienstes sein, aus Perspektive der IT-Secuirty ist es alles andere als eine gute Praxis. Üblicherweise verwenden wir in der Forschung in solchen Fällen einen Vorgang namens Responsible Disclosure: Wird eine Schwachstelle gefunden, macht man sie innerhalb einer kleinen Community publik, um gemeinsam mit Herstellern zu diskutieren, wie man sie beheben kann.

STANDARD: Hätte es Möglichkeiten gegeben, um so eine Bedrohung früher zu erkennen?

Skopik: Die Frage ist nicht einfach zu beantworten, weil es immer auf die Art des Schadprogramms und den verwendeten Angriffsweg ankommt. Wir arbeiten an neuen Systemen, um Anomalien in Rechnernetzen zu scannen und Abweichungen im Betriebsverhalten frühzeitig zu erkennen. Sofern richtig konfiguriert, hätte man den Wurm mit einem derartigen System erkennen können. Dabei lernt das Monitoring-System, welche Vorgänge im Netz normal und welche Ereignisse ungewöhnlich sind. Wenn plötzlich Daten im großen Stil verschlüsselt werden, erzeugt das auffällige Muster in den Datenströmen, die man auswerten kann. So kann man auf die Spur eines Angriffs gelangen. Diese Anomalieerkennungssysteme sind aber immer reaktiv. Es muss schon etwas passiert sein, damit ich etwas erkennen kann.

STANDARD: Herkömmliche Virenscanner, die auf jedem PC installiert sind, suchen nach Signaturen von Viren. Warum hatten diese Programme keine Chance, Wannacry aufzuspüren?

Skopik: Bei herkömmlicher, sich langsam verbreitender Schadsoftware haben die Antivirenhersteller Zeit, Signaturen zu erstellen. Diese können sie innerhalb von ein, zwei Tagen ausrollen. Wannacry hat sich aber so schnell fortgepflanzt, dass man kaum Gegenmaßnahmen dieser Art ergreifen konnte. Wenn diese traditionellen, signaturbasierten Ansätze nicht mehr funktionieren, braucht es andere Ansätze wie eben die Anomalieerkennungssysteme.

STANDARD: Können derartige Systeme auch über Unternehmens- oder Organisationsgrenzen hinaus verwendet werden?

Skopik: Organisationen kennen ihre Infrastrukturen und Konfiguration und können zielgerichtet nach Anomalien suchen. In größerem Rahmen funktioniert es dann, wenn ich mich mit anderen über Anomalien austauschen kann: Wenn zwei Organisationen gleichzeitig melden, dass sich der Webserver eines bestimmten Typs merkwürdig verhält, weist das darauf hin, dass ein Angriff vorliegen könnte.

STANDARD: Wer koordiniert den Datenaustausch zwischen Organisationen?

Skopik: Da sind wir beim Thema Threat-Intelligence. Einerseits versuchen große Anbieter von Sicherheitslösungen, ihre Kunden untereinander zu vernetzen. Andererseits richten viele Staaten nationale Sicherheitszentren ein, an die man sich bei Verdachtsfällen wenden kann. In Österreich macht das etwa das Computer Emergency Response Team (Cert.at).

STANDARD: Kritische Infrastrukturen wie Kraftwerke bedürfen besonderer Schutzmaßnahmen. Wie sorgt man hier für Sicherheit?

Skopik: Gerade hier funktioniert die Anomalieerkennung gut, weil die Prozesse viel starrer definiert sind. Nach einer Risikoanalyse werden diese Systeme in einem sehr gezielten Monitoring überwacht. Nachdem sicherheitskritische Systeme streng zertifiziert sind, ist es jedoch schwer, auf Bedrohungen mit Systemanpassungen und Updates zu reagieren. Hier ist es umso wichtiger, die Datenströme genau zu beobachten, weil man sie nicht zeitnah neu konfigurieren kann.

STANDARD: Auch das Internet der Dinge bringt neue Bedrohungen mit sich. Wie kann man sich davor schützen, dass Kameras, Smart-Home-Systeme und andere mit dem Netz verbundene Geräte missbraucht werden?

Skopik: Eine Kamera an einer Außenwand wird nach der Installation oft nicht mehr aktualisiert. Ein Problem ist, dass solche Geräte relativ leistungsschwach sind und keine starke Verschlüsselung zulassen. Schon beim Design der Systeme ist also relevant, wie die Angriffsfläche vermindert werden kann: Ich muss nicht 17 Dienste auf einem Gerät laufen lassen, wenn nur einer verwendet wird. Zudem werden zunehmend sogenannte Security Gateways für Internet-der-Dinge-Systeme eingesetzt – auch wir arbeiten gerade an einem solchen System. Das sind Firewalls, die problematische Verbindungsversuche erkennen, filtern und nur legitimen Datenverkehr durchlassen.

STANDARD: Zurück zu Wannacry: Glauben Sie, dass man die konkreten Urheber des Wurms jemals identifizieren wird?

Skopik: Es gibt Theorien zur Herkunft aufgrund von Codeanalysen, die auf Analogien mit anderer Schadsoftware abzielen. Zudem versucht man herauszufinden, wo der Angriff seinen Ausgang nahm – offenbar in Asien. Welche Personen tatsächlich involviert waren, wird letzten Endes schwer zu sagen sein. Natürlich stellt sich auch die Frage, wer die NSA-Information zur Sicherheitslücke an die Öffentlichkeit und damit in die Hände der Cyberkriminellen gespielt hat. (Alois Pumhösel, 26.5.2017)