Der tödliche Cyberwar der Geheimdienste

Da kommt man nichts ahnend aus dem Kino und in der Zwischenzeit hat eine Ransomware Systeme auf der ganzen Welt als Geisel genommen. Darunter Krankenhäuser und Systeme der Deutschen Bahn. Die Nachrichten erinnern an einen dieser billigen „OMG, ein Hackerangriff wird uns alle töten!“ Bestseller aus der Bahnhofsbuchhandlung. Das Problem ist nur: Es ist echt.

Sicherheitsrisiko Geheimdienste

Wenn die bisherigen Einschätzungen stimmen, dann ist die Wurzel des Übels eine Sicherheitslücke aus dem Giftschrank der NSA, die ins Netz gestellt wurde. Windows-Systeme, die nicht rechtzeitig ein Update bekommen haben, konnten mit Hilfe dieser Informationen übernommen werden.

Hintergrund: Geheimdienste haben derzeit eine unangenehme Angewohnheit: Sie horten Sicherheitslücken. Auch der deutsche Geheimdienst BND hat sich im Jahr 2014 vom Bundestag genehmigen lassen, von dubiosen Anbietern Sicherheitslücken zu kaufen. Was das bedeutet, habe ich damals so beschrieben:

„Es gibt einen Schwarzmarkt und eine große Grauzone, auf denen Geschäftemacher mit Sicherheitslücken handeln. Das funktioniert so: Statt Sicherheitslücken an die Unternehmen zu melden, damit diese die Lücke beheben können, wird das geheime Wissen gegen bare Münze weiterverkauft. Der Käufer ersteht nicht selten einen Zweitschlüssel zu ganzen Systemen, mit denen in Betriebssysteme und fremde Netzwerke eingebrochen werden kann. Die Abnehmer kommen nicht nur aus Geheimdienstkreisen, sondern auch aus der organisierten Kriminalität oder dem Unternehmensbereich. 

Oft weiß niemand, ob die Lücke bereits anderen bekannt ist, der dubiose Händler die Sicherheitslücke gleich an mehrere „Kunden“ verkauft hat oder welche Geheimdienste womöglich noch über dieselbe Hintertür ein- und ausgehen. Jeder Käufer, der die Sicherheitslücke ausnutzt, statt sie zu melden, macht sich damit mit dubiosen Interessen gemein. Der BND gefährdet nach Einschätzung zahlreicher Experten damit die Sicherheit von Unternehmen, Privatpersonen und kritischer IT-Infrastruktur.“

Niemand weiß – sollten die bisher im Umlauf befindlichen Thesen stimmen – , wie lange die NSA bereits auf den Sicherheitslücken saß, bevor sie ungeplant ins Netz gestellt wurden. Hätte der Geheimdienst die Sicherheitslücke statt sie als Hintertür auszunutzen, gemeldet – womöglich wären heute einige Operationen in britischen Krankenhäusern nicht ausgefallen. Unternehmen hätten die Sicherheitslücke womöglich bereits vor Monaten schließen können. Um es mal klar zu sagen: Cyberwar tötet Menschen. Und zwar nicht Hacker mit Kapuzen sondern die Großmutter eines Menschen im Krankenhaus.

Das Beispiel WannaCry zeigt: Die Politik der Geheimdienste gefährdet Menschenleben. Mit unseren Steuergeldern kaufen sie Informationen zu Sicherheitslücken, an denen unsere kritische Infrastruktur hängt. Unsere Krankenhäuser, unser Verkehrsnetz und unsere Parlamente. WIE VERANTWORTUNGSLOS IST ES BITTE SEHR, DASS DIESE INFORMATIONEN UNTER VERSCHLUSS GEHALTEN WERDEN!!!!!111 Geheimdienste, die von unseren Steuergeldern finanziert werden, dürfen verschweigen, dass Krankenhaussysteme jederzeit lahm gelegt werden können. Und dann stellt sich der Innenminister hin und redet über „Sicherheits-Cyberstrategien“ – merkt ihr eigentlich noch etwas? Irgendetwas?

Cyberwar gegen… UNS ALLE!

Übrigens: Wer weiß, wie viele Hacks der vergangenen Jahre hätten verhindert werden können, wenn die Geheimdienste Sicherheitslücken bei Herstellern gemeldet hätten, die darauf hin hätten Updates anbieten können. Dass das bei Sicherheitsdebatten fast nie Thema ist macht mich nicht nur wütend. Ich bin wirklich sprachlos angesichts der Dreistigkeit, wie man einen derartigen Cyberwar gegen die eigene Bevölkerung auch nur im Entferntesten mit seinem Gewissen vereinbaren kann.

Sicherheitslücken nicht zu melden ist unterlassene Hilfeleistung.

Und das ist in Deutschland strafbar.

9 thoughts on “Der tödliche Cyberwar der Geheimdienste

  • Im ersten Moment dachte ich ähnlich aber wie Fefe so schön sagt: Der Gaffer ist nicht Schuld am Unfall. Die Schwachstelle lag in Microsofts Produkt und sie habens Jahrelang nicht gefunden, vielleicht haben sie da nicht gesucht?
    Von Anfang an hatte ich aber kein Verständnis für die Opfer, keine Updates, kein Mitleid…insbesondere was XP angeht.

  • „Du weißt genau, dass die Lücke zuvor der NSA über ein Jahr lang bekannt gewesen sein soll.“

    Was gewesen sein soll, kann man nicht genau wissen. Und selbst wenn…die Ransomware ist erst aufgetaucht, nachdem die Lücke bekannt und bereits gepatcht war. Hätte MS die Lücke vor einem Jahr gemeldet bekommen, veröffentlicht und gepatcht, hätten wir diesen Angriff wahrscheinlich vor einem Jahr gehabt.

    @Pluto: Das mit den Patches ist in Firmeninfrastrukturen nicht gaaanz so einfach wie auf einem Heimrechner. Da sind i.d.R. vorher aufwändige Tests vonnöten, wie sich jeder einzelne Patch auswirkt. Da gibts schon einmal Verzögerungen. Was sich mir nicht erschließt, ist die Tatsache, dass wohl auch kritische Infrastrukturen (wie z.B. etliche britische Krankenhäuser) vom Internet erreichbar zu sein scheinen. Dass Patientenakten im selben Netzwerk wie Emails von außen rumschwirren ist…suboptimal.

  • @Leeroy
    „daran tragen die Geheimdienste die alleinige Schuld“
    das stimmt nicht, denn JEDER, der an die Sicherheit im Internet glaubt, trägt auch zur Unsicherheit bei !

  • Pluto das Stimmt so nicht – es geht auch nicht um eine Lücke sondern um eine ganze Reihe an Lücken. Jede einzelne hat Vermutlich Millionen Geräte geknackt und übernommen. Und daran tragen die Geheimdienste die alleinige Schuld. Als das Internet entworfen wurde hat man nicht an eventuelle böse Nutzungsmöglichkeiten Gedacht und anstatt etwas an der Situation zu ändern haben die Geheimdienste es so für sich zurecht Gebaut, das Sie an möglichst viele Informationen kommen – dabei ist es egal was es ist. Die Farbe deines Kaffeebechers ist denen genauso wichtig wie die Anzahl deiner Freunde.

  • Du weißt genau, dass die Lücke zuvor der NSA über ein Jahr lang bekannt gewesen sein soll. Es gibt Unternehmen, die lassen einen Patch 1-2 Monate liegen – weniger machen das 1 Jahr. Das hätte verhindert werden können. Dass einige Unternehmen quartalsweise patchen ist schlimm genug – aber Geheimdienste hätten trotzdem in der Verantwortung gestanden die Lücke zu schließen. Und zwar vor langer langer Zeit.

  • wurde die Lücke nicht von MS bereits im März/April mittels Patch geschlossen. Und jetzt haben wir Mai und es gibt scheinbar Leute die Ihre Computer-Sicherheit alle 12 Monate nur checken. Der Angriff ging von Geldgierigen Hackern aus, nicht vom BND o.ä., zumindest der derzeitige Kenntnisstand. Und das das auffinden von Sicherheitslücken ein Geschäft darstellen wird seit dem betrieben, seit Unternehmen viel Geld dafür bezahlen.
    Vor langer Zeit haben sich Hacker für die „Ehre“ an das aufspüren von Sicherheitslücken heran gemacht. Mehr und mehr dieser Leute haben aber verständlicher Weise dann bei großen Unternehmen angeheuert oder habe Ihre eigene Sicherheitsfirma gegründet, oh Wunder, mit dem Anspruch mit Ihrem Wissen Geld zu verdienen. Jetzt alles den Geheimdiensten anzulasten ist sehr sehr Kurzsichtig und ist eigentlich der Blogerin unwürdig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Bitte zeig mir, dass du ein Mensch bist! * Time limit is exhausted. Please reload CAPTCHA.