IT-Sicherheit
Egal ob "WannaCry" oder "Petya": Erpressungstrojaner werden mehr und mehr zur Tagesordnung. Welches Grundproblem dahinter steckt, erklärt der Chaos Computer Club!
Eine bald tägliche Bedrohung? Nach dem globalen Angriff mit dem Kryptotrojaner "WannaCry" grassiert momentan schon die nächste Schadsoftware: "Petya" nennt sich die neue Ransomware, die in Konzernen weltweit wütet und sogar die Strahlungs-Überwachung in Tschernobyl getroffen hat. Sie verbreitet sich über die gleiche NSA-Sicherheitslücke wie ihr Vorgänger.
Die grundsätzliche Problematik, die hinter dem Phänomen der Erpressungstrojaner steckt, erläutert Falk Garbsch (32) vom Chaos Computer Club (CCC): Der Sprecher der größten Hackervereinigung Europas warnt seit Jahren vor dem Ausnutzen von Sicherheitslücken durch Geheimdienste. Zudem sieht er eine nicht zu unterschätzende Gefahr im aktuell geplanten Staatstrojaner!
handwerk magazin: Angriffe durch Erpressungstrojaner werden immer häufiger und treten - zumindest gefühlt - in immer kürzeren Abständen auf. Wie schätzen Sie die Lage ein?
Trojaner sind natürlich kein neues Phänomen. Es gibt sie schon seit den 80er Jahren. Allerdings hat sich in den letzten Jahrzehnten das Internet selbst und auch unsere Nutzungsgewohnheiten geändert: Wir sind einfach andauernd online. Das ist zumindest ein Grund dafür, dass sich viel von dem, was wir aus der Alltagskriminalität kennen, ins Netz verlagert. Viele User sind durch unbedarfte Internetnutzung leichte Ziele für Erpresser.
Die Angriffe haben sich also verändert?
Wir merken zumindest, dass die Art und Weise, in der die Trojaner wirken, heute anders ist als früher. Der Fokus hat sich verschoben: Früher ging es eher um die Beschaffung von Unternehmensdaten. Heute geht es um Angriffe auf breite Massen und um Erpressungen: Die Hacker wollen möglichst viele Menschen erpressen, um möglichst viel Geld zu verdienen. Verschlüsselungstrojaner á la "WannaCry" gibt es erst seit ein paar Jahren.
Das bedeutet, nicht alle Trojaner sind prinzipiell auf Erpressungen ausgelegt. Welchen Schaden können sie stattdessen anrichten?
Das ist ein weites Feld. Ein Trojaner kann theoretisch alles tun, was jede andere Software unter normalen Umständen auch tun kann. Es gibt solche, die sich in Systeme einschleusen und persönliche Daten abgreifen. Aber es gibt natürlich auch andere, die sich in Firmennetze einnisten und dort Unternehmensdaten ausleiten. Oft sind die Trojaner übrigens unter Fremdkontrolle: Damit kann der Hacker die komplette Steuerung der Rechner übernehmen oder Informationen stehlen.
"WannaCry" hat innerhalb weniger Tage Rechner weltweit befallen. Woran liegt es, dass Trojaner sich so schnell verbreiten können?
So neu ist die weite Verbreitung tatsächlich nicht. Wir haben schon einiges gesehen, das im Netz ziemlich unterwegs war und sehr gewütet hat. 2001 war zum Beispiel der "I-love-You"-Virus, der sich damals über die Outlook-Anlagen verbreitet hat, in aller Munde. "WannaCry" ist schon auch ein bisschen gepusht worden. Trotzdem war die Dimension natürlich in gewisser Weise neu: Die Festplatten wurden einfach verschlüsselt und die Daten gelöscht. Die Erpresser haben also gezielt darauf gesetzt, dass die Menschen keine Backups machen und gleichzeitig bereit sind, viel Geld für ihre Daten zu bezahlen.
Trojaner werden immer wieder über Sicherheitslücken verbreitet, die beispielsweise von Geheimdiensten unter der Decke gehalten werden. So auch im aktuellen Fall, in dem die Hacker eine Sicherheitslücke der NSA ausgenutzt haben. Wie kann das sein?
Diese Geheimhaltung ist echt immer wieder ein Problem. Vor allem bei der NSA. Und auch die CIA ist da – zumindest laut Wikileaks – gut mit dabei. Die Sache ist die: Es gibt erfahrene Hacker, die Sicherheitslücken quasi als Tagesjob analysieren und sie dann auf zwielichtigen Märkten anbieten. Dort kaufen dann Kriminelle und Geheimdienste munter ein und nutzen die Lücken anschließend für eigene Zwecke. Die meisten Staaten benutzen die Schwachstellen dann, um selbst zu hacken.
Das Problem ist: Wenn ich eine Sicherheitslücke habe, bin ich im Zweifel nicht der einzige, der sie findet. Kriminelle Hacker können die selbe Sicherheitslücke finden und darüber ihre eigene Schadsoftware verbreiten. Deshalb gilt eigentlich: Der größte Schutz für den Verbraucher ist das Schließen dieser Schwachstellen. Sonst wird es immer wieder zu solchen Fällen kommen. Jedes Mal, wenn Lücken offenbleiben, kann sich der nächste Trojaner dort einnisten.
Wie können die Sicherheitslücken geschlossen werden?
Ein Staat oder Geheimdienst kann die Sicherheitslücke natürlich nicht selbst schließen. Wer eine Lücke findet, muss sich an den Hersteller wenden und sagen "macht mal zu." Und genau diesen Schritt gehen die Staaten häufig nicht. Deshalb dürfen wir ruhig damit rechnen, dass solche Angriffe - zumindest solange sich nichts ändert - bald an der Tagesordnung sind. Wir sehen jetzt schon deutlich, dass die Probleme rund um verheimlichte Sicherheitslücken zunehmen. Lücken kann ich nur schließen, wenn ich sie kenne. Also kann ich sie nicht einfach geheim halten.
Welchen Umgang mit Sicherheitslücken wünscht sich der CCC konkret?
Was wirklich passieren muss, ist Folgendes: Wir müssen weg vom staatlichen Hacking. Wir müssen zu dem Punkt kommen, Sicherheitslücken gezielt zu schließen und damit unsere gesamte Infrastruktur zu schützen. Das ist der einzige Weg, der funktionieren wird. Es gibt keinen anderen Schutz für Infrastrukturen außer den, Schwachstellen strukturell zu beseitigten. Staatliches Hacking hilft uns nicht weiter. Das nützt uns nur etwas, wenn man Hacker einsetzt, um Sicherheitslücken gezielt zu suchen und zu schließen. Wenn keiner umdenkt, werden wir auch in Zukunft wirklich schlimme Viren- und Trojanerangriffe haben.
Stichwort "staatliches Hacking": Der Bundestag hat mittlerweile das "Gesetz zur effektiveren und praxistauglicheren Ausgestaltung des Strafverfahrens" verabschiedet. Damit wird es möglich, Trojaner zum Schutz gegen den Terrorismus einzusetzen. Was hält der CCC vom Bundestrojaner?
Sind wir mal ehrlich: Ein Staats- oder Bundestrojaner ist ganz doch genau das: Da wird eine Sicherheitslücke ausgenutzt und genau das gemacht, wovor wir seit Jahren warnen. Wenn wir zulassen, dass Staaten systematisch anfangen, Systeme zu hacken und Sicherheitslücken geheim zu halten, hat das zur Folge, dass in allen Systemen Hintertüren offen bleiben. Auch in denen der eigenen Bürger und der eigenen Unternehmen, die sich auf den Schutz des Staates verlassen.
Wenn ich als Staat so einen Trojaner haben möchte, dann muss ich natürlich eine Sicherheitslücke haben, über die er sich in den Systemen verstecken kann. Und genau das ist wahnsinnig gefährlich! Das kann konkret bedeuten, dass eine andere Regierung die Sicherheitslücke nutzen und alle meine Systeme lahmlegen kann. Und ich kann nichts dagegen tun. Und warum nicht? Weil ja gerade meine staatlichen Hacker, die mich beschützen sollen, diese Sicherheitslücken geheim gehalten haben.
Wie schätzt der CCC die Folgen ein, die ein Bundestrojaner haben kann?
Welche Folgen das alles haben wird, kann man noch gar nicht abschätzen. Ein großes Problem des Staatstrojaners ist zumindest, dass die Verlässlichkeit des Systems sinkt. Wir wissen alle, dass Software an sich häufig schon nicht so stabil ist, wie wir es uns gerne einreden. Wir alle kennen die Situation, dass unser Word ohne erkennbaren Grund abstürzt. Genauso kann es sein, dass ein Trojaner sich auch nicht so verhält wie er soll und beispielsweise persönliche Daten des Users auf eine öffentliche Plattform lädt. Eigentlich ist es unglaublich, dass parallel zu dieser "WannaCry"-Geschichte beschlossen wird, dass wir ja unbedingt einen Staatstrojaner brauchen.
Immer wieder treffen Trojaner Krankenhäuser oder andere Einrichtungen. Wie hoch sind die Risiken, dass kritische Infrastrukturen angegriffen werden?
Prinzipiell hat die IT von kritischen Infrastrukturen natürlich die gleichen Probleme wie der durchschnittliche User. Und es werden auch immer wieder, auch in Deutschland, Krankenhäuser getroffen. Diese Fälle gehen oft durch die Medien. Aber wir gehen davon aus, dass auch Industriebetriebe regelmäßig getroffen werden. Allerdings werden diese Angriffe nicht öffentlich gemacht. Das ist ein riesiges Problem. Es ist unter Umständen sogar vorstellbar, dass ein Virus, der gar nicht für kritische Infrastrukturen konzipiert ist, durch Zufall in das System kommen und ganze Infrastrukturen lahmlegen kann. Ein industrieller Hochofen, der IT-basiert läuft, kann sich zum Beispiel infizieren. Wenn man dann die Kontrolle verliert, ist das natürlich gefährlich: Der Hochofen kann überhitzen und die Steuerung kann komplett lahmgelegt werden.
Welche Gefahren und Risiken sieht der CCC in der Zukunft?
Unsere Einschätzung ist auf jeden Fall negativ. Bis jetzt haben unser Gesetzgeber und die Geheimdienste noch keinerlei Lernprozess im Umgang mit Sicherheitslücken gezeigt. Solange das nicht der Fall ist, müssen wir leider damit rechnen, immer wieder angegriffen zu werden. Die Digitalisierung schreitet voran und spätestens wenn wir über Smart Cities und Heimautomatisierung reden, um Strom zu sparen, müssen wir davon ausgehen, dass uns im Winter einfach jemand den Strom oder die Heizung ausstellt. Wir müssen das Thema endlich gezielt angehen und uns darum kümmern, die strukturellen Probleme zu beheben. Sonst fallen uns irgendwann täglich kritische Infrastrukturen aus.
Wenn ein Großteil der Verantwortung bei den Regierungen liegt, wie kann der User sich dann überhaupt schützen?
Schützen kann man sich, indem man sehr darauf achtet, immer die Sicherheitsupdates für das Betriebssystem einzuspielen – das ist einfach die goldene Regel. Diese Sicherheitsupdates sind da nicht zum Spaß. Wenn ich sie nicht installiere oder einfach mal einen Monat warte, ist das System häufig schon anfälliger für bekannte Lücken. Anti-Virenprogramme und Firewalls prinzipiell schon auch sinnvoll. Die Programme haben aber leider eine Erkennungsrate von unter 50%. Das bedeutet: Selbst wenn der User einen Virenscanner hat, braucht es immer noch viel Glück, dass er genau den Virus findet, der den Rechner infizieren will. Eine Anti-Viren-Software schützt nicht hundertprozentig. Und auch eine Firewall schützt nicht hundertprozentig. Das muss den Usern einfach bewusst sein.
Vielen Dank für das Gespräch.