Schwachstellen: Gefährlicher Backdoor-Poker

Im Zuge der »Wannacry«-Attacke müssen sich Geheimdienste wie die NSA eine Mitschuld an entstandenen Schäden geben lassen. Doch das Zurückhalten von Sicherheitslücken durch Behörden entbindet Unternehmen nicht von einem ausgefeilten Schwachstellenmanagement.

(Foto: zephyr_p - Fotolia)

Vor zwei Wochen sorgte die Ransomware »Wannacry« in über 150 Ländern für Chaos auf geschätzt 220.000 Rechnern. In Deutschland war beispielsweise die Deutsche Bahn ein prominentes Opfer, bundesweit fielen Anzeigetafeln und Fahrkartenautomaten aus. Zwar wurde ein integrierter »Kill-Switch« schnell entdeckt und der angerichtete Schaden eingegrenzt, allerdings nutzten die Angreifer eine Lücke im Windows-Betriebssystem, die der NSA schon lange bekannt ist und für die Spähangriffe der Sicherheitsbehörde ausgenutzt wird. Die Kritik von Microsoft an dieser Zurückhaltung seitens der Regierung fiel ungewohnt deutlich aus: Verglichen mit konventionellen Waffen wäre es etwa so, als hätte sich das US-Militär ein paar Tomahawk-Raketen stehlen lassen, echauffierte sich etwa Brad Smith, Chief Legal Officer bei Microsoft. Regierungen müssten einen neuen Ansatz finden, wie sie im Cyberspace dieselben Regeln durchsetzen wie für Waffen in der physischen Welt. Der Windows-Manager ist mit seiner Einschätzung nicht alleine. »Ich begrüße es, dass Microsoft die NSA für die Zurückhaltung von Sicherheitslücken öffentlich angeklagt hat. Denn was uns das eingebracht hat, ist eine Katastrophe«, erklärt etwa Jeremiah Grossman, Chief of Security beim Sicherheitsspezialisten Sentinel One.

Übersicht

Kommentare (1) Alle Kommentare

Antwort von Peter Langschmidt , 14:43 Uhr

mit Interesse habe ich Ihren Artikel über die von Wannacry verwendete Lücke und die Implikationen gelesen.

Aus meiner Sicht haben Sie allerdings eine wesentliche Implikation nicht erwähnt:

Wenn Infrastrukturkomponenten (wie Anzeigetafeln, Krankenhaussysteme etc.) mit einer geplanten Nutzungsdauer von Jahrzehnten mit Software ausgeliefert werden, die nicht mal für ein Jahrzehnt gewartet wird, ist die Katastrophe vorprogrammiert.

Da hier in vielen Fällen weder die Hardware noch die spezifische Software ein Upgrade unterstützen, müsste mit dem Mittel der Produkthaftung gegen die 'Hersteller' vorgegangen werden.

(Wie bekommt man ein 16 Bit Programm auf Windows 10 zum Laufen und wie soll Windows 10 halbwegs performant auf einer Hardware von vor 10 + x Jahren laufen?)

Solange für den geplanten Zweck und Verwendungszeitraum offensichtlich untaugliche Kombinationen von Hard- und Software ungestraft verkauft werden können, sind Wiederholungen der jüngsten Ereignisse auch ohne von Geheimdiensten zurückgehaltene Zero-Day Exploits unausweichlich.