WannaCry nicht das Ende

Die nächste Angriffswelle wird kommen

25.05.2017
Die Cyber-Attacke WannaCry ist zwar gestoppt, aber Experten befürchten, dass die Angreifer nicht aufgeben werden.
Rüdiger Trost, Experte der Sicherheitssoftware-Firma F-Secure
Foto: F-Secure

Ist der Erpressungstrojaner, der Zehntausende Computer weltweit blockierte, besiegt? Rüdiger Trost, Experte der Sicherheitssoftware-Firma F-Secure ist überzeugt, dass sich eine solche Attacke wiederholen wird. Er sprach mit der Deutschen Presse-Agentur auch darüber, was Verbraucher jetzt machen sollten - und hat Verständnis für ausweglose Situationen, in denen schließlich das Lösegeld bezahlt wird.

Die globale Cyber-Attacke wurde noch durch den glücklichen Fund einer in der Software eingebauten "Notbremse" gestoppt. Ist es damit vorbei?

Rüdiger Trost: Das hilft nur kurzfristig. Ich gehe davon aus, dass es von dieser Attacke früher der später eine weitere Welle geben wird. Weil sich einfach gezeigt hat, dass es sehr gut funktioniert über diese relativ alte Windows-Lücke.

Was macht die Software so besonders?

Rüdiger Trost: Die automatische Ausbreitung von Schadsoftware zwischen Computern gab es schon lange, zum Beispiel beim "Conficker"-Wurm 2008. Aber es ist das erste Mal, dass wir das bei einem Erpressungstrojaner sehen. Damit infizierte sich ein Rechner normalerweise erst, wenn man ein präpariertes Word-Macro ausführt oder auf eine Website klickt.

Sollte man regelmäßige Backups machen?

Rüdiger Trost: Auf jeden Fall, denn wenn es einen getroffen hat, bleibt eigentlich wenig anderes außer die Backups einzuspielen - oder letztendlich zu zahlen.

Aber können nicht auch Backups von einem Erpressungstrojaner verschlüsselt werden?

Rüdiger Trost: Das kommt darauf an. Wenn das Backup-Verzeichnis einfach nur als Laufwerk im Verzeichnis auftaucht, dann kann es sehr gut sein, dass es mitverschlüsselt wird. Das wäre der schlimmstmögliche Fall, deswegen gibt es Mechanismen, ein Backup so zu erstellen, dass das System darauf nicht ohne weiteres zugreifen kann.

Wie stehen Sie zu der Frage, ob man das geforderte Lösegeld zahlen darf?

Rüdiger Trost: Generell sagt ja das Bundesamt für Sicherheit in der Informationstechnik (BSI), man solle auf keinen Fall bezahlen, weil es das Problem nur noch schlimmer macht. Das stimmt auch. Aber wenn es keine Möglichkeit gibt, an die Daten zu kommen, und es zum Beispiel kritische Daten eines Unternehmens sind, ohne die es dichtmachen muss - dann haben die einfach keine andere Wahl, als zu zahlen.

Aber halten die Angreifer überhaupt Wort?

Rüdiger Trost: Das Geschäftsmodell basiert tatsächlich darauf, dass die Leute zahlen und ihre Daten wiederbekommen. Allerdings entfernt das natürlich nicht den Trojaner, der auf dem Computer bleibt. Und mann kann davon ausgehen, dass etwas später wieder Dateien verschlüsselt werden und ein noch höheres Lösegeld verlangt wird.

Nachdem das gewaltige Ausmaß der Attacke erst durch eine Sicherheitslücke möglich wurde, die einst die NSA für ihre Zwecke gebrauchte und die dann von Hackern veröffentlicht wurde - können die Geheimdienste so weitermachen wie bisher?

Rüdiger Trost: Man muss der NSA und anderen Geheimdiensten vorhalten, dass sie Sicherheitslücken horten und für eigene Zwecke nutzen, anstelle sie schließen zu lassen. Das führt dazu, dass Computer auf der ganzen Welt unsicherer werden. Früher oder später gelangt jede Sicherheitslücke an die Öffentlichkeit. Deshalb muss diese Strategie überdacht werden.

Glauben Sie, dass die Attacke als Weckruf dient und Unternehmen und Verbraucher gewissenhafter Updates laden werden, um Sicherheitslücken zu schließen?

Rüdiger Trost: Dass man Updates zum Stopfen der Schwachstellen einspielen muss, das weiß man eigentlich. Aber schon 2008 war es so, dass sich Computer zum Teil noch zwei Jahre später mit dem Wurm ansteckten, weil die Patches immer noch nicht eingespielt worden waren. Einen gewissen Lerneffekt wird es jetzt sicher geben. Aber wer es bisher nicht verstanden hat, der wird das auch durch so eine Attacke nicht lernen.