WannaCry: Weltweit größte Cyberattacke zeigt Handlungsbedarf für KRITIS-Betreiber bei der Umsetzung gesetzlicher Vorgaben zur Cybersicherheit

Dennis-Kenji Kipker/Mattea Stelter

Die Cyberattacke durch die Schadsoftware WannaCry hat am vergangenen Wochenende weltweit für Schäden gesorgt. Unbekannte Angreifer konnten eine Sicherheitslücke im Microsoft-Betriebssystem Windows ausnutzen, ihr Schadcode verschlüsselte auf den betroffenen Rechnern die Daten und forderte Nutzer zur Zahlung eines Lösegelds auf. Laut Europol handelt es sich bei dem jüngsten Vorfall um die bisher größte Cyberattacke. Auch Kritische Infrastrukturen waren betroffen. Der WannaCry-Angriff verdeutlicht den Handlungsbedarf in der praktischen Umsetzung der im Rahmen der Cyber-Sicherheitsstrategien von Bundesregierung und EU entwickelten rechtlichen Anforderungen an die Sicherheit von IT-Systemen.

Weltweit Störungen in Kritischen Infrastrukturen

Die Schadsoftware infizierte nach Angaben von Europol etwa 200.000 Computersysteme in 150 Ländern. Zu den Betroffenen zählten Kritische Infrastrukturen wie das britische Gesundheitssystem NHS (National Health Service), die Deutsche Bahn, das russische Innenministerium und Telekommunikationsunternehmen in Portugal und Spanien (Portugal Telecom und Telefónica). Daneben kam es auch bei Großunternehmen wie dem US-amerikanischen Logistikunternehmen FedEx oder dem Automobilhersteller Renault zu Behinderungen. Die Attacke zielte demnach nicht nur auf private Nutzer ab, sondern wirkte sich spürbar auf das öffentliche Leben aus: In Großbritannien etwa kam es aufgrund der Ausbreitung der Schadsoftware in den Netzen des staatlichen Gesundheitsdienstes zu Ausfällen der IT in zahlreichen Krankenhäusern. In der Folge konnte nicht mehr auf Patientendaten zugegriffen werden, Operationen und Routineuntersuchungen mussten abgesagt und Patienten in andere Kliniken verlegt werden. Die Krankenhäuser riefen dazu auf, nur noch in Notfällen in die Kliniken zu kommen. In Deutschland verzeichnete die Deutsche Bahn Störungen bei Fahrkartenautomaten, Überwachungskameras und digitalen Anzeigetafeln, letztere dauerten mehrere Tage an.

Schadcode nutzte Windows-Schwachstelle aus

Die Täter setzten sog. Ransomware ein (auch Erpressungs-, Krypto- oder Verschlüsselungstrojaner genannt; bis dato eingesetzte Erpressungstrojaner sind z.B. Locky, TeslaCrypt oder CryptoLocker), die auf einem im vergangenen Monat veröffentlichten, eine Sicherheitslücke ausnutzenden Schadprogramm (sog. Exploit) mit der Bezeichnung EternalBlue basiert. Die Schwachstelle findet sich dabei im SMB-Protokoll des Betriebssystems Windows, das die Datei- und Druckerfreigabe in Windows-Netzwerken ermöglicht, und gibt Angreifern über eine sog. Remote Code Execution die Möglichkeit, aus der Ferne auf ein System zuzugreifen und dieses mit Schadcode zu infiltrieren. Bei WannaCry erfolgt der initiale Befall eines Rechners im betroffenen Netzwerk über E-Mails mit infizierten Dateianhängen. Danach ist es der Erpressersoftware möglich, sich über die Schwachstelle im SMB-Protokoll auch ohne jegliche weitere Nutzerinteraktion wurmartig auf andere Rechner im gleichen lokalen Netzwerk zu übertragen. Die Ransomware konnte sich aus diesem Grund besonders leicht in den großen Netzwerken von Unternehmen bzw. staatlichen Einrichtungen ausbreiten. Auf den infizierten Computern verschlüsselt die WannaCry-Software die Dateien und fordert für die Entschlüsselung ein Lösegeld, das in der Kryptowährung Bitcoin zu zahlen ist.
Befallen waren ausschließlich Rechner mit Windows-Betriebssystemen, auf denen ein im März von Microsoft für neuere Windows-Betriebssysteme veröffentlichter Sicherheits-Patch, der die beschriebene Schwachstelle beheben sollte, nicht installiert worden war. Daher waren neben jenen Nutzern, die es schlicht versäumt hatten, den bereitgestellten Sicherheits-Patch zu installieren, vor allem solche Nutzer mit älteren Betriebssystemen wie Windows XP betroffen, für die Microsoft den Support bereits 2014 eingestellt hat und keine Sicherheitsupdates mehr zur Verfügung stellt. Das betrifft insbesondere noch immer viele große Unternehmen und Einrichtungen, für die ein Wechsel des Betriebssystems mit hohem Aufwand und Kosten verbunden ist, etwa aufgrund des notwendigen Zusammenspiels mit auf älteren Betriebssystemen basierenden Softwarekomponenten oder der fehlenden Kompatibilität von bestehender Hardware mit neueren Betriebssystemen. So setzt auch der von der WannaCry-Attacke betroffene National Health Service aus Kostengründen noch immer das Betriebssystem Windows XP ein.
Experten gehen davon aus, dass die von WannaCry genutzte Sicherheitslücke ursprünglich vom US-Geheimdienst NSA entdeckt worden ist, der auch das passende Angriffswerkzeug EternalBlue entwickelt haben soll. Der EternalBlue-Exploit war im April von der Hackergruppe The Shadow Brokers veröffentlicht worden, die bereits seit August 2016 mit Leaks von Angriffstools der NSA für Aufsehen sorgt.

Sicherheitsexperte stoppt Ausbreitung vorläufig, Gefahr besteht weiterhin

Die Ausbreitung der Ransomware konnte am Tag nach Beginn der Cyberattacke eingedämmt werden: Die Entwickler hatten einen sog. Kill Switch in den Code eingebaut. Im Fall der WannaCry-Software wird bei diesem „Notfall-Schalter“ vor Ausführung des eigentlichen Schadcodes geprüft, ob eine bestimmte Domain registriert ist. Nur falls die Abfrage ein negatives Ergebnis liefert, werden die Daten verschlüsselt. Ein britischer IT-Sicherheitsexperte entdeckte zufällig den Kill Switch, indem er – nach eigenen Angaben lediglich, um auf diese Weise mehr über die Schadsoftware herauszufinden – selbst die fragliche Domain registrierte, und konnte so die weitere Ausbreitung von WannaCry verhindern.
Vorüber ist die Gefahr dadurch nicht: Die Täter oder Trittbrettfahrer können weiterhin neue Varianten der Schadsoftware, die den Kill Switch nicht enthalten, in Umlauf bringen. Zudem kündigte die für die Veröffentlichung der von WannaCry verwendeten Sicherheitslücke verantwortliche Hackergruppe The Shadow Brokers bereits an, zeitnah neue Daten über weitere für Cyberattacken geeignete Sicherheitslücken veröffentlichen zu wollen.

IT-Sicherheitsrecht auf dem Prüfstand?

Der WannaCry-Angriff führt die enorme Verwundbarkeit von IT-Systemen in der Wirtschaft und in Kritischen Infrastrukturen durch Cyberattacken in bis hierhin ungekannter Deutlichkeit vor Augen. Es muss zudem erwartet werden, dass durch neue Cyberwaffen die jüngste Attacke schon bald von einem weitreichenderen Angriff übertroffen wird. Der Vorfall zeigt, dass bezüglich der Vermeidung von Sicherheitslücken in IT-Systemen, insbesondere in der IT Kritischer Infrastrukturen, noch dringender Handlungsbedarf besteht. Erste Stimmen aus der Politik fordern hierzu bereits eine Verschärfung der rechtlichen Vorgaben zur Cybersicherheit.
Die Bundesregierung verfolgt auf diesem Gebiet mit den Cyber-Sicherheitsstrategien von 2011 und 2016 bereits seit einigen Jahren u.a. die Ziele, Digitalisierung sicher zu gestalten, die digitale Kompetenz von Anwendern zu fördern, Kritische Infrastrukturen und Unternehmen zu schützen sowie eine leistungsfähige gesamtstaatliche Cyber-Sicherheitsarchitektur aufzubauen. 

Hohes Schutzniveau durch IT-Sicherheitsgesetz

Die durch das 2015 in Kraft getretene IT-Sicherheitsgesetz von der Bundesregierung eingeführten Neuregelungen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) begründen für die Betreiber von Kritischen Infrastrukturen, d.h. Einrichtungen, deren Funktionsfähigkeit für die Aufrechterhaltung des Gemeinwesens zentral ist, Pflichten zur Verbesserung der IT-Sicherheit ihrer Systeme. Diese Vorgaben betreffen nach einer Schätzung der Bundesregierung etwa 2.000 Unternehmen in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.
§ 8a Abs. 1 BSIG verpflichtet die Betreiber, unter Berücksichtigung des Stands der Technik Vorkehrungen organisatorischer und technischer Art zum Schutz der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme zu treffen. Zu solchen Betreiberpflichten zählen zweifellos auch die Verwendung sicherer Betriebssysteme, die Installation aktueller Sicherheitsupdates und die regelmäßige Erstellung von Backups. Ebendiese technischen und organisatorischen Vorkehrungen sind im Fall der WannaCry-Attacke geeignet, eine Infizierung der IT-Systeme zu verhindern bzw. entstandene Schäden zu vermindern. Darüber hinaus sind gemäß § 8b Abs. 4 BSIG im Rahmen der Meldepflicht die Betreiber bei einer erheblichen Störung der IT, die zum Ausfall oder zur Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat oder führen könnte, verpflichtet, den Vorfall an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Eine solche Erheblichkeit ist vor allem bei Störungen anzunehmen, die nicht automatisiert oder mit wenig Aufwand abgewehrt werden können, etwa bei neuartigen und außergewöhnlichen IT-Vorfällen oder gezielten Angriffen. Die Meldepflicht besteht damit auch für die Betreiber der in Deutschland von der WannaCry-Attacke betroffenen Kritischen Infrastrukturen.
Überdies soll auf europäischer Ebene die NIS-Richtlinie, deren Umsetzungsgesetz der Deutsche Bundestag am 27. April beschlossen hat, als Teil der Cyber-Sicherheitsstrategie der EU ein einheitliches Schutzniveau in der IT-Sicherheit der Mitgliedsstaaten gewährleisten. Die Richtlinie sieht u.a. neue Anforderungen an die IT-Sicherheit für die Betreiber von digitalen Diensten sowie die Einführung von Mobile Incident Response Teams (MIRTs) vor, die in Notfällen die Funktionsfähigkeit einer IT-Infrastruktur wiederherstellen sollen. Insgesamt ergeben sich aus der NIS-Richtlinie hinsichtlich der Anforderungen an KRITIS-Betreiber jedoch keine wesentlichen Anpassungen der schon vorhandenen Regelungen des BSIG – ein weiterer Beleg, dass Deutschland in Sachen Cybersicherheit im europäischen Vergleich bereits gut dasteht.

Umsetzung bestehender Regelungen entscheidend

Entgegen aktuell geäußerter politischer Auffassungen, das IT-Sicherheitsgesetz zu verschärfen, ist daher festzustellen, dass dafür zurzeit kein Bedarf besteht. Die geforderten technischen und organisatorischen Maßnahmen (TOM), die unter anderem die Einrichtung eines Informationssicherheits-Managementsystems (ISMS) sowie einer Meldepflicht verlangen, sind von ihrer Natur bereits ausreichend, um auch Bedrohungen wie WannaCry vorzubeugen. Vielmehr sollte den Unternehmen jetzt anstelle von Gesetzesänderungen eine umfassende inhaltliche Unterstützung bei der Umsetzung der Verpflichtungen aus den §§ 8a, 8b BSIG sowie aus den spezialgesetzlichen Vorschriften eingeräumt werden, insbesondere durch das Bundesamt für Sicherheit in der Informationstechnik (BSI), denn abstrakt gefasste gesetzliche Regelungen allein haben noch keine praktischen Auswirkungen auf die tatsächlich technisch zu realisierende IT-Sicherheit.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben