Zum Heulen: Wannacry, das BSI und der BND

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) kümmert sich nur um die IT-Sicherheit der „kritischen Infrastrukturen“, der Bundesnachrichtendienst kauft und sammelt sogar Sicherheitslücken, um sie zum heimlichen Eindringen in Systeme auszunutzen. Hunderttausende von PC-Nutzern, Freiberufler, Architekturbüros, Arztpraxen, Anwaltskanzleien usw., also diejenigen, die keine eigene IT-Abteilung haben, bleiben allein und im Regen stehen. Sind die wirklich „selbst schuld?!“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Behörde im Geschäftsbereich des Bundesministeriums des Innern mit Sitz in Bonn. Sie beschäftigt derzeit rund 600 Informatiker, Physiker, Mathematiker und andere Mitarbeiter. Laut Eigenbeschreibung [1] ist das BSI „eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft.“ Acht von zehn Leuten, die man auf der Straße nach dem BSI befragt, würden, sofern sie das BSI überhaupt kennen, der Behauptung zustimmen, dass „das BSI zuständig für die Förderung der IT-Sicherheit in Deutschland“.

Das ist allerdings ein großes Missverständnis! Denn die tatsächlichen Aufgaben des BSI finden sich im Kleingedruckten des §3 des BSI-Gesetzes [2]. Zusammengefasst steht dort, dass das BSI nur für folgende „Kunden“ tätig ist:

  • Die Behörden des Bundes
  • Behörden der Länder (jedoch nur auf deren „Ersuchen“)
  • Polizeibehörden, sowie die Verfassungsschutzbehörden und Bundesnachrichtendienst
  • sowie die Betreiber sogenannter kritischer Infrastrukturen (Kritis)

Was sind ‚kritische Infrastrukturen

Was ‚kritische Infrastrukturen‘ sind, erklärt uns das BSI so:
„Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“[3]

Dazu gehören die folgenden Sektoren und Branchen:

Sektor Branche
Staat und Verwaltung
  • Regierung und Verwaltung
  • Parlamente
  • Justizeinrichtungen
  • Notfall-/Rettungswesen und Katastrophenschutz
Energie
  • Elektrizität
  • Gas
  • Mineralöl
Informationstechnik und Telekomunikation
  • Telekommunikation
  • Informationstechnik
Transport und Verkehr
  • Luftfahrt
  • Schifffahrt
  • Schienenverkehr
  • Straßenverkehr
  • Logistik
Gesundheit
  • Medizinische Versorgung
  • Arzneimittel und Impfstoffe
  • Labore
Wasser
  • Öffentliche Wasserversorgung
  • Öffentliche Abwasserbeseitigung
Ernährung
  • Ernährungswirtschaft
  • Lebensmittelhandel
Finanz- und Versicherungswesen
  • Banken
  • Börsen
  • Versicherungen
  • Finanzdienstleister
Medien und Kultur
  • Rundfunk und Presse
  • Kulturgüter und symbolträchtige Bauwerke

Einrichtungen und Unternehmen, die zu einer der genannten Branchen gehören, müssen die Auflagen des IT-Sicherheitsgesetzes [4] beachten. Doch darum soll es hier im weiteren nicht gehen.

Wannacry …

Seit Freitag der vergangenen Woche treibt eine Erpressersoftware namens ‚Wannacry‘ global ihr Unwesen. Sie infiziert, soweit bekannt über E-Mail Anhänge die unvorsichtigerweise geöffnet werden, Rechner unter MS-Windows, verschlüsselt wesentliche Datendateien (z.B. Word-, Excel-,…) und verlangt vom Betroffenen die Bezahlung eines Gegenwerts von rund 300$ in Bitcoins. Wer diese Zahlung pünktlich leistet, soll angeblich am 19.Mai Anleitungen zur Entschlüsselung erhalten. Wird die Zahlung nicht pünktlich geleistet, soll sich der Preis verdoppeln. Wenn in einem lokalen Netzwerk ein Rechner betroffen ist, soll sich die Infektion sehr schnell auch auf die anderen PCs im Netzwerk verbreiten.

Aktuell sollen weltweit knapp 500.000 PCs von dieser Infektion betroffen sein (siehe Livetracking auf der Seite der IT-Sicherheitsfirma MalwareTech). Deutschland lag nach Auskunft des BSI vom 15.5. auf Platz 13 der betroffenen Länder [5], belastbare, absolute Zahlen liegen jedoch nicht vor.

Schutz vor Infektion

Infiziert werden nur Rechner mit MS-Windows-Betriebssystem und auch nur dann, wenn eine seit längerem bekannte Sicherheitslücke nicht durch einen Sicherheits-Update („Patch“) gestopft wurde. Microsoft bietet solche Patches seit März diesen Jahres für die aktuellen Betriebssystemversionen an und hat sich aufgrund der Dringlichkeit auch dazu durchgerungen, für das alte MS-Windows XP einen Patch zur Verfügung zu stellen, obwohl XP seit Jahren schon nicht mehr gewartet wird. Der Download und das Einspielen dieses Patches ist dringend notwendig, um eine Infektion zu vermeiden. Wie Sie dabei vorgehen, ist z.B. hier [6] beschrieben.

Die Mehrzahl der Betroffenen ist nicht „Kritis“

Ebenfalls in diesen Tagen hat Dimension Data, ein Tochterunternehmen des japanischen Telekommunikationsanbieters NTT, seinen 2017 Global Threat Intelligence Report herausgegeben [7].
Daraus ergibt sich, das Ausmaß der Betroffenheit wichtiger Sektoren durch Phishingattacken und Erpressersoftware in Europa (einschließlich der ehemaligen Sowjetrepubliken), dem Nahen und Mittleren Osten und Afrika:

Daran fällt auf, dass die Mehrzahl gar nicht zu den Sektoren, die zu den „KRITIS-„Betreuten des BSI gehören:

Von Phishing-Angriffen und Erpressungssoftware betroffene Sektoren in Europa, dem Nahen und Mittleren Osten und Afrika (C) Data Dimension [7]

Der Präsident des BSI, Arne Schönbohm, soll sich „überrascht“ gezeigt haben [8], „von der mangelnden Vorsorge in diesen Unternehmen. Das grenze an Fahrlässigkeit. „Ich glaube, das liegt daran, dass ein Großteil der IT-Verantwortlichen nicht die Entscheider in einem Unternehmen sind. Wenn es um IT-Sicherheit geht, sagen die: ‚Das macht der Elektro-Erich um die Ecke‘. Das ist ein Prinzip, das nicht funktionieren wird.“

Zero-Day-Exploits und wie die Geheimdienste sie benutzen (wollen)

Eine ziemlich kaltschnäuzige Äußerung, wie ich finde. Denn gleichzeitig versucht der „Partnerdienst“ des BSI, der Bundesnachrichtendienst, wie auch andere Nachrichtendienste, vor allem die der Vereinigten Staaten, Nutzen aus dem geheim gehaltenen Wissen um solche Sicherhietslücken zu ziehen. Sie sammeln das Wissen um diese Lücken und den Softwarecode für den Angriff, ja, es gibt sogar spezialisierte Händler, die von den Diensten teuer bezahlt werden für entsprechende „Produkte“. Diese werden von den Diensten gekauft, in den Giftschrank gelegt. Denn sie sollen – angeblich – dazu genutzt werden, den Geheimdiensten in ihrem unermüdlichen Kampf gegen Terror und Extremismus Werkzeuge für das Eindringen in Zielrechner an die Hand zu geben. Wie der aktuelle Fall zeigt, nehmen die Dienste sich dabei dieses „Recht“ heraus, obwohl hunderttausende von Betroffenen massiv geschädigt werden, wenn diese Angriffswerkzeuge in andere Hände geraten, was schon mehrfach geschehen ist.
Dagegen würde ein zeitnahes Aufdecken solcher Sicherheitslücken gegenüber dem Hersteller (hier Microsoft) dafür sorgen, dass von dort auch entsprechend zeitnah entsprechende Patches zum Stopfen der Löcher zur Verfügung gestellt werden.

Auch für diesen konkreten „Wannacry“-Angreifer war das Einfallstor dem amerikanischen Nachrichtendienst NSA längst bekannt. Er gehörte zu einem Set sogenannter an „exploits“ (Sicherheitslücken), von dem bekannt geworden war, dass es bei der NSA gestohlen worden war.

Weckruf an die Regierungen von Microsoft und die Forderung nach einer Digitalen Genfer Konvention

Microsoft hatte, anscheinend unabhängig von den Berichten über den Diebstahl der Exploits bei der NSA, am 14.3.2017 Patches für die neueren Windows-Systeme zur Verfügung gestellt.In einem öffentlichen Statement vom 14.05. beklagt sich der juristische Vorstand von Microsoft, Brad Smith [9] dennoch über die Vorgehensweise des Geheimdienstes:

„Diese Angriffe stellen ein anderes Beispiel dafür dar, warum das Hamstern solcher Sicherheitslücken durch staatliche Institutionen so ein Problem ist. Wir sehen, dass dieses Handlungsmuster in 2017 zunimmt: Wir mussten in der Vergangenheit feststellen, dass Angriffsmöglichkeiten, die die CIA gehortet hatte, bei Wikileaks auftauchten. Jetzt hat eine Sicherheitslücke die bei der NSA abhanden gekommen ist, Kunden unseres Unternehmens überall auf der Welt betroffen. Es ist wiederholt vorgekommen, dass Sicherheitslücken, die ursprünglich von staatlichen Sicherheitsbehörden gesammelt worden waren, ihren Weg in die Öffentlichkeit gefunden haben und dort großen Schaden angerichtet haben. … Die Regierungen aller Länder sollten diesen Angriff als Weckruf begreifen. Sie müssen sich eine andere Vorgehensweise überlegen und mit Risiken im Cyberspace genauso verantwortlich umgehen wie mit ihren Waffen in der realen Welt. Es ist notwendig dass die Regierungen den Schaden bedenken, der zivile Nutzer und Unternehmen durch solche Angriffe treffen kann. Wir haben deshalb im Februar diesen Jahres eine neue ‚Digitale Genfer Konvention‘ angeregt, die sich mit solchen Fragen beschäftigen soll inklusive neuer Anforderungen an die Regierungen, solche Schwachstellen den Herstellern mitzuteilen anstatt sie zu horten, zu verkaufen oder auszunutzen.“

Warum sich auch Microsoft an der eigenen Nase fassen sollte ..

Kritiker wenden allerdings ein, dass auch Microsoft nicht unschuldig daran ist, dass viele Nutzer entsprechende Sicherheits-Updates nur ungern einspielen. Das trifft insbesondere für solche Nutzer zu, die sich um alle Angelegenheiten ihres PCs selbst kümmern müssen, also nicht auf eine hauseigene IT-Abteilung zurückgreifen können. Denn wer einmal als Laie erlebt hat, wie ein solcher Update hängenbleibt, und dann verzweifelt damit kämpft, sein System wieder zum Laufen zu bringen, wird sich beim nächsten Mal überlegen, ob er diese Erfahrung erneut machen möchte. Microsoft wird ferner dafür kritisiert, dass Sicherheits-Updates für die älteren Windows-Versionen nicht mehr angeboten werden. Im Falle des Wannacry allerdings hat das Unternehmen in den letzten Tagen auch für die aus der Wartung gefallenen Betriebssystemversionen entsprechende Updates zur Verfügung gestellt.

Kundenspezifische Softwareentwicklungen für die frühen Windows-Versionen

Wer in den neunziger Jahren schon dabei war, weiß, welche Befreiung bzw. welchen Innovationsschub die Betriebssysteme von Microsoft für die Entwicklung von kundenspezifischen Softwarelösungen darstellten. Es herrschte in allen Branchen Aufbruchstimmung und war vollkommen normal, dass sich die Bahn, jede Bank, jedes Telekommunikationsunternehmen, die Polizeibehörden, Krankenhäuser Versicherungsunternehmen usw. usw. ihre eigene Softwarelösung stricken ließen. Wer früh dabei war, ließ auf den 16-bit-Versionen von MS-Windows entwickeln. Dabei entstanden hunderttausende von Applikationen, die mehr oder minder gut das taten, was der entsprechende Auftragnehmer verlangte.

2001 brachte Microsoft dann Windows XP auf den Markt, die erste breit eingeführte 32-bit-Version des Systems. Auftraggeber und Entwicklerfirmen taten das Notwendige, um ihre Anwendungen von 16- auf 32-bit zu portieren und waren glücklich, wenn das mehr oder minder zeit- und kostengünstig über die Bühne ging. Danach zog Microsoft davon mit weiteren Windows-Versionen. Nicht alle davon trafen den Geschmack der breiten IT-Öffentlichkeit. Auch die Notwendigkeit, sich in neue Programmiersprachen und Programmentwicklungsumgebungen einzuarbeiten, war für nicht wenige Entwickler der alten Schule ein Hindernis. Und so blieb eine Unmenge von Applikationen auf XP-Rechnern „hängen“. Die taten, was sie sollten aus der Sicht des Auftraggebers / der Nutzer. Und um Sicherheitslücken, nun ja, kümmerte man sich nicht immer mit dem notwendigen Nachdruck …

Jahre später stellte Microsoft die Wartung für Windows XP ein. Damit wurden auch keine Sicherheits-Updates mehr zur Verfügung gestellt. Und so verrotteten ganz allmählich wesentliche Teile der IT-Infrastruktur, insbesondere in sicherheitstechnischer Hinsicht. Und das werden sie auch weiterhin tun …

Leere Kassen im öffentlichen Dienst

Gerade im Bereich öffentlicher Institutionen kam erschwerend noch hinzu, dass die Kassen chronisch leer waren. Sodass für die Neuentwicklung von Software, die funktional ja immer noch weitgehend das tat, was sie sollte, schlicht kein Geld da war.

Geändertes Lizenzmodell bei Microsoft: Software kostet jetzt laufend Geld

Und dann ging Microsoft auch noch mit seiner neuesten Geschäftsidee an die Öffentlichkeit: Für Software, auch die Betriebssysteme, musste man jetzt jährliche Pauschalen zahlen. Gerade im öffentlichen Dienst mit seiner auf Jahresbudgets bezogenen kameralistischen Haushaltsführung, kann es Probleme machen, Haushaltsverpflichtungen auf mehrere Jahre in die Zukunft einzugehen. Was noch ein Grund mehr war, bei der ja immer noch funktionierenden Softwareausstattung mit Windows XP zu bleiben.

„Weitere Gesetzesverschärfung“ fordert der Minister

AUch Alexander Dobrindt, Bundesminister für Digitale Infrastruktur, fühlt sich aufgerufen, seinen Beitrag zu leisten. Der soll darin bestehen, dass das IT-Sicherheitsgesetz verschärft wird. Bei IT-Störungen müssten „die Ereignisse an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden, um daraus Schlüsse zu ziehen und im Zweifel [sic?!] Gegenmaßnahmen zu entwickeln“, erklärte er in der Passauer Neuen Presse [10].

(Mindestens) diese drei Fragen lässt diese ministerielle Einlassung allerdings offen:

  1. Warum unterhält das Bundesamt für Sicherheit in der Informationstechnik mit seinen mehr als 600 Fachleuten nicht selbst ein Netzwerk-Überwachungszentrum, um solche Ereignisse zeitnah zu bemerken?
  2. Inwiefern trägt eine solche Meldepflicht dazu bei, den Schaden zu minimieren?
  3. Wäre es nicht wesentlich zielführender, der BND würde seine Erkenntnisse aus den gesammelten bzw. für teures Geld eingekauften Zero-Day-Exploits zur Verfügung stellen, um Kritische Infrastrukturen und andere Bürger, Unternehmen und Behörden in diesem Land wirksam, nämlich vorbeugend, zu schützen?

Quellen

[1]   Aufgaben des BSI von dessen Webseite
https://www.bsi.bund.de/DE/DasBSI/Aufgaben/aufgaben_node.html

[2]   BSI-Gesetz
https://www.gesetze-im-internet.de/bundesrecht/bsig_2009/gesamt.pdf

[3]   UP-Kritis Flyer, BSI
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Kritis/Flyer_UP_KRITIS.html

[4]   Das IT-Sicherehitsgesetz, BSI
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/IT-Sicherheitsgesetz.pdf?__blob=publicationFile&v=5

[5]   Update: Weltweite Cyber-Sicherheitsvorfälle durch Ransomware, 15.05.2017, BSI
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Update_WannaCry_15052017.html

[6]   ’Handlungsempfehlungen und Schutzmaßnahmen‘ in Update: Weltweite Cyber-Sicherheitsvorfälle durch Ransomware, 15.05.2017, BSI
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Update_WannaCry_15052017.html

[7]   2017 Global Threat Intelligence Report, Data Dimension
http://www.dimensiondata.com/Global/Downloadable%20Documents/2017%20Global%20Threat%20Intelligence%20Report%20as%20released%20by%20NTT%20Security.pdf

[8]   BSI-Präsident: ‚Sind mit blauem Auge davon gekommen‘, 15.05.2017, Inforadio
inforadio: https://www.inforadio.de/programm/schema/sendungen/int/201705/15/129299.html

[9]   The need for urgent collective action to keep people safe online: Lessons from last week’s cyberattack, 14.05.2017, Microsoft
https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/#sm.0000ose3ib7e8evuuv51dontww6lj

[10]   Nach Wannacry-Attacke: Dobrindt für schärferes IT-Sicherheitsgesetz15.05.2017, Heise
https://www.heise.de/newsticker/meldung/Nach-WannaCry-Attacke-Dobrindt-fuer-schaerferes-IT-Sicherheitsgesetz-3713755.html

Copyright und Nutzungsrechte

(C) 2017 CIVES Redaktionsbüro GmbH
Sämtliche Urheber- und Nutzungsrechte an diesem Artikel liegen bei der CIVES Redaktionsbüro GmbH bzw. bei dem bzw. den namentlich benannten Autor(en).