Diese Website verwendet nur technisch notwendige Cookies. In der Datenschutzerklärung können Sie mehr dazu erfahren.

Zum Hauptinhalt springen
Logo, Startseite der Hochschule der Medien

"WannaCry" macht der Welt zu schaffen

Quelle:Pixelio.de
Quelle:Pixelio.de

Seit Mitte Mai ist der Begriff "WannaCry" weltweit bekannt. Die Cyberattacke, die in 150 Ländern verbreitet wurde und über 200.000 Organisationen und Privatpersonen betroffen hat, schockiert die ganze Welt. Noch nie ist eine Cyberattacke diesen Ausmaßes publik geworden, noch nie waren so viele Personen betroffen. Doch was ist eine Cyberattacke? Und weshalb werden die meisten Menschen erst jetzt auf dieses Phänomen der Internetgesellschaft aufmerksam?

Prof. Dr. Roland Schmitz von der Stuttgarter Hochschule der Medien (HdM) lehrt im Studiengang Medieninformatik und beschäftigt sich hauptsächlich mit dem Thema Internet-Security, und damit auch mit der Cyberattacke "WannaCry".

Missbräuchliche Nutzung des Computers

Dass eine Cyberattacke wirklich jeden treffen kann, verunsichert und verängstigt. Viele beschäftigen sich jetzt das erste Mal mit diesem Thema. "Eine Cyberattacke ist die Bemächtigung des eigenen Computers durch eine andere Person. Dieser Computer wird missbräuchlich genutzt. In den meisten Fällen werden Daten vom Rechner geklaut. Oft wird der Rechner aber auch von Hackern ferngesteuert, oder es werden alle Daten verschlüsselt und so unbrauchbar gemacht," erklärt Prof. Dr. Roland Schmitz. Im Fall von "WannaCry" wurden die Daten verschlüsselt, um von den Betroffenen Lösegeld zu erpressen. Diese hohen erpressbaren Geldsummen locken viele in das "Business", und so werden auch die Softwares, die dahinterstecken, immer besser und die Attacken immer professioneller. Bereits vor "WannaCry" gab es zahlreiche Hackerangriffe, die jedoch in den Medien selten thematisiert wurden, da meist nur einzelne Firmen oder Privatpersonen betroffen waren. "Die Vorgehensweise der 'WannaCry' Attacke ist an sich keine neue, dieser massive, breitgesteuerte Angriff jedoch schon."

Wie läuft ein Angriff ab?

Bisher liefen die meisten Angriffe im Netz nach derselben Taktik ab. Die Angreifer versuchen, die eigene Software auf einem Computer auszuführen. "Durch einen Code konnte bei 'WannaCry‘ die Kontrolle über den Rechner übernommen werden, indem bösartiges JavaScript ausgeführt wird", erklärt Schmitz. Die Besonderheit an der "WannaCry" Attacke ist die eingebaute Wurmfunktionalität, die selbstständig neue Rechner infizieren kann. "Durch ein einziges schadhaftes System konnte sich die Software innerhalb eines Netzwerks schnell verbreiten und so etwa Krankenhäuser und Parkhäuser vollständig lahmlegen." Auch bei der Deutschen Bahn war der Angriff auf den fehlerhaften Anzeigetafeln und den Fahrkartenautomaten direkt sichtbar.

Woher kommt der Angriff?

Viele Experten sind sich sicher, dass dieser Hack nur der Anfang war. Auch für Prof. Dr. Roland Schmitz steht fest, dass die aktuelle Schädigung zwar eingedämmt ist, wir aber nicht gesichert sind. Der Angriff konnte nur durch zwei glückliche Umstände so schnell vermindert werden: Erstens hat Microsoft unverzüglich Patches für alle Betriebssysteme bereitgestellt, die die Weiterverbreitung von "WannaCry" erschweren. Für die alten Systeme wie Windows XP mussten dafür erst die entsprechenden Patches hergestellt werden. Zweitens wurde "WannaCry" über einen sogenannten "Command and Control-Server" gesteuert, der ebenfalls schnell identifiziert werden konnte. Die dafür benutzte Domain konnte offiziell registriert werden, ein neuer Server erstellt und somit die Verbreitung gestoppt werden. "Da die Domain aber wieder geändert werden kann und es noch ungepatchte Systeme gibt, bedeutet dies, dass der Angriff noch nicht vorüber sein muss," so Sicherheitsexperte Schmitz.

Wie komme ich an meine Daten?

Die große Frage lautet aktuell, wie die Betroffenen wieder an ihre Daten kommen. Prof. Dr. Roland Schmitz weiß, dass tatsächlich nur die Zahlung des gewünschten Lösegeldes eine Möglichkeit ist: "Technisch gibt es kaum einen anderen Weg als das geforderte Lösegeld zu zahlen, um die Daten wieder zu entschlüsseln - und zu hoffen, dass die Daten dann auch wirklich freigegeben werden. Wenn man Glück hatte, war das kurz zuvor gemachte Backup die einzige Rettung." Mittlerweile gibt es eine Software namens "WannaKey", die versucht, eventuell noch vorhandenes Schlüsselmaterial aus dem Arbeitsspeicher des betroffenen Rechners auszulesen. "Das funktioniert aber nur bei manchen 'WannaCry-Varianten' und nur, wenn der Rechner seit der Infektion nicht neu gestartet wurde", so Schmitz.

Spekulationen über Spekulationen

Wer hinter dieser Cyberattacke stecken könnte, ist bisher reine Spekulation. Die Angreifer können nur gefasst werden, wenn absichtlich Spuren hinterlassen oder Fehler gemacht wurden, was im Gegensatz zu der angenommenen Professionalität der Hacker steht. Auch Prof. Dr. Roland Schmitz kann und möchte sich nicht auf die Herkunft des Angriffes festlegen: "Es gibt vage Hinweise, die für einen Angriff aus Nordkorea sprechen. Zum einen wurde eine Codeanalyse durchgeführt und anhand dieser festgestellt, dass bestimmte Teile des Codes bereits bei früheren Attacken von Nordkorea verwendet wurden. Auch konnte die Bearbeitungszeit des Codes abgelesen werden, und diese stimmen mit der nordkoreanischen Zeitzone überein. Beide Hinweise können jedoch auch einfach gefälscht werden, so dass wir nicht sagen können, woher der Angriff stammt."

Wie kann ich mich schützen?

Für den Schutz gegen Cyberattacken sollten immer die aktuellsten Sicherheitsupdates installiert sein. Dies kann automatisch in der entsprechenden Software eingestellt werden. Auch das aktuellste Betriebssystem zu benutzen schützt vor Angriffen. Wenn man sich gut mit seinem Computer auskennt, kann auch der Port gesperrt werden, über den die Schadsoftware verbreitet wurde. Speziell bei "WannaCry" wurde dies über Server Message Blog (SMB) Version 1 verbreitet, der dazugehörige Port 445 wäre zum Schutz zu sperren.

Ann-Kathrin Gugel


Kontakt:
Prof. Dr. Roland Schmitz
E-Mail: schmitz@hdm-stuttgart.de

Weiterführende Links:
Studiengang Medieninformatik

22. Mai 2017