Da kommt man nichts ahnend aus dem Kino und in der Zwischenzeit hat eine Ransomware Systeme auf der ganzen Welt als Geisel genommen. Darunter Krankenhäuser und Systeme der Deutschen Bahn. Die Nachrichten erinnern an einen dieser billigen „OMG, ein Hackerangriff wird uns alle töten!“ Bestseller aus der Bahnhofsbuchhandlung. Das Problem ist nur: Es ist echt.

Sicherheitsrisiko Geheimdienste

Wenn die bisherigen Einschätzungen stimmen, dann ist die Wurzel des Übels eine Sicherheitslücke aus dem Giftschrank der NSA, die ins Netz gestellt wurde. Windows-Systeme, die nicht rechtzeitig ein Update bekommen haben, konnten mit Hilfe dieser Informationen übernommen werden.

Hintergrund: Geheimdienste haben derzeit eine unangenehme Angewohnheit: Sie horten Sicherheitslücken. Auch der deutsche Geheimdienst BND hat sich im Jahr 2014 vom Bundestag genehmigen lassen, von dubiosen Anbietern Sicherheitslücken zu kaufen. Was das bedeutet, habe ich damals so beschrieben:

„Es gibt einen Schwarzmarkt und eine große Grauzone, auf denen Geschäftemacher mit Sicherheitslücken handeln. Das funktioniert so: Statt Sicherheitslücken an die Unternehmen zu melden, damit diese die Lücke beheben können, wird das geheime Wissen gegen bare Münze weiterverkauft. Der Käufer ersteht nicht selten einen Zweitschlüssel zu ganzen Systemen, mit denen in Betriebssysteme und fremde Netzwerke eingebrochen werden kann. Die Abnehmer kommen nicht nur aus Geheimdienstkreisen, sondern auch aus der organisierten Kriminalität oder dem Unternehmensbereich. Oft weiß niemand, ob die Lücke bereits anderen bekannt ist, der dubiose Händler die Sicherheitslücke gleich an mehrere „Kunden“ verkauft hat oder welche Geheimdienste womöglich noch über dieselbe Hintertür ein- und ausgehen. Jeder Käufer, der die Sicherheitslücke ausnutzt, statt sie zu melden, macht sich damit mit dubiosen Interessen gemein. Der BND gefährdet nach Einschätzung zahlreicher Experten damit die Sicherheit von Unternehmen, Privatpersonen und kritischer IT-Infrastruktur.“

Niemand weiß – sollten die bisher im Umlauf befindlichen Thesen stimmen – , wie lange die NSA bereits auf den Sicherheitslücken saß, bevor sie ungeplant ins Netz gestellt wurden. Hätte der Geheimdienst die Sicherheitslücke statt sie als Hintertür auszunutzen, gemeldet – womöglich wären heute einige Operationen in britischen Krankenhäusern nicht ausgefallen. Unternehmen hätten die Sicherheitslücke womöglich bereits vor Monaten schließen können. Um es mal klar zu sagen: Cyberwar tötet Menschen. Und zwar nicht Hacker mit Kapuzen sondern die Großmutter eines Menschen im Krankenhaus.

Das Beispiel WannaCry zeigt: Die Politik der Geheimdienste gefährdet Menschenleben. Mit unseren Steuergeldern kaufen sie Informationen zu Sicherheitslücken, an denen unsere kritische Infrastruktur hängt. Unsere Krankenhäuser, unser Verkehrsnetz und unsere Parlamente. WIE VERANTWORTUNGSLOS IST ES BITTE SEHR, DASS DIESE INFORMATIONEN UNTER VERSCHLUSS GEHALTEN WERDEN!!!!!111 Geheimdienste, die von unseren Steuergeldern finanziert werden, dürfen verschweigen, dass Krankenhaussysteme jederzeit lahm gelegt werden können. Und dann stellt sich der Innenminister hin und redet über „Sicherheits-Cyberstrategien“ – merkt ihr eigentlich noch etwas? Irgendetwas?

Cyberwar gegen… UNS ALLE!

Übrigens: Wer weiß, wie viele Hacks der vergangenen Jahre hätten verhindert werden können, wenn die Geheimdienste Sicherheitslücken bei Herstellern gemeldet hätten, die darauf hin hätten Updates anbieten können. Dass das bei Sicherheitsdebatten fast nie Thema ist macht mich nicht nur wütend. Ich bin wirklich sprachlos angesichts der Dreistigkeit, wie man einen derartigen Cyberwar gegen die eigene Bevölkerung auch nur im Entferntesten mit seinem Gewissen vereinbaren kann.

Sicherheitslücken nicht zu melden ist unterlassene Hilfeleistung.

Und das ist in Deutschland strafbar.

Dir hat dieser Beitrag gefallen? Das freut mich sehr! Dieser Blog finanziert sich ausschließlich über Leser-Spenden. Meine Kaffeekasse ist entweder über paypal.me/kattascha oder das Konto mit der IBAN-Nummer DE84100500001066335547 (Inhaber Katharina Nocun) erreichbar. Oder bei Steady. Natürlich freue ich mich auch, wenn Ihr mein neues Buch „Fake Facts“ bestellt :-)