WannaCry, die User und die Erpresser: Wie gefährlich war es wirklich?

Eine Antwort vorneweg: Gefährlich genug – für jene, die vom Erpresser-Wurm WannaCry betroffen wurden. Erschreckend an der ganzen Geschichte ist allerdings, wie schwierig es ist, in vielen Stories über den Angriff nützliche und konsistente Informationen zu finden. Auch können die meisten User, die sich irgendeinmal nur annähernd mit dem Thema befasst haben, nicht viel lernen, das sie nicht schon vorher gewusst haben.

Es gibt durchaus Massnahmen, die dafür sorgen, dass dieser Bildschirm auf
Ihrem Bildschirm nicht erscheint.                                                 Bild pd

Es lohnt sich, gleich zum Anfang die Sicherheitstipps zu wiederholen: Wer ans Internet geht, sollte ein gutes Virenschutzprogramm und eine Firewall benutzen. (Symantec schreibt auf seiner Website, dass die Sicherheitslücke, die von WannaCry ausgenutzt wurde, von Symantec schon früh blockiert worden sei – Symantec-Kunden seien deshalb vollumfänglich geschützt gewesen, lange bevor WannaCry auftauchte!) Auf keine Attachments klicken, die von unbekannten Absendern gemailt werden. Und selbstverständlich nicht mit einem Betriebssystem surfen, das keinen Microsoft-Support mehr erhält – wie zum Beispiel Windows XP oder Vista. Ausserdem: Backups erstellen, regelmäßig, immer wieder, und die Daten getrennt vom PC, in der Cloud oder auf der externen Festplatte, aufbewahren.
Ist doch eigentlich nicht so schwierig – oder?
Und trotzdem scheint es, dass die Hacker, welche den WannaCry-Erpresservirus losgelassen haben, fast den Untergang unserer digitalen Gesellschaft verursacht haben. Zumindest wenn man die News in den Massenmedien und den Pressemitteilungen der Sicherheitsfirmen glaubt:

“Die Ransomware-Attacke, genannt „WannaCry“,  die am vergangenen Wochenende wie eine Flutwelle über Computer in Büros, Krankenhäusern und Schulen hinwegfegte, hat viele Nutzer ratlos und besorgt zurückgelassen. Was bedeutet der Angriff für unsere Cybersicherheit?“

schreibt zum Beispiel der IT-Security-Spezialist Thomas Uhlemann von Eset. Und er kennt auch einige interessante Zahlen:

“Laut unserer Statistiken sind die tatsächlichen Zahlen von WannaCry im Gesamtverhältnis zu den restlichen versuchten Malwareattacken mit unter 0,1% in Deutschland niedrig. Das spricht für eine an sich gute Ausgangslage hierzulande. […] Bisher haben die Angreifer etwa 70‘000 Euro erbeutet. Das erscheint in Anbetracht des Ausmasses des Angriffs sehr wenig zu sein. Woran liegt das? Das große Ausmass bei gleichzeitig geringem „Einkommen“ spricht dafür, dass es sich bei „WannaCry“ nicht um eine zielgerichtete, hoch-professionalisierte Attacke handelt. Wir denken eher, dass die Veröffentlichung der „Vault7“-Daten von Wikileaks dazu geführt hat, dass die dort dokumentierten Schwachstellen ausgenutzt werden konnten. Dazu bedarf es keiner ausgeklügelten Kenntnisse, es reicht Basiswissen…“

Mit anderen Worten: Bei den WannaCry-Hackern, die in den letzten Tagen so viel “Ratlosigkeit und Besorgnis“ verursacht hat, handelt es sich wahrscheinlich um einem oder mehrere, wenn möglich minderjährige Lümmel, die nicht mal besonders gut programmieren können.
Oder war es vielleicht doch der Despot in Nordkorea:

“Neel Mehta, der als Sicherheitsforscher bei Google tätig ist, entdeckte eine 100-prozentige Übereinstimmung im Programmcode zwischen einer Vorgänger-Version von WannaCry (Stand Februar) und dem Trojaner Contopee aus dem Jahr 2015. Letzterer wurde von der Lazarus-Gruppe entwickelt, einem nordkoreanischen Zusammenschluss von Hackern.“

WannaCry hat also Chaos angerichtet, wurde eventuell von einem unberechenbaren Diktator losgelassen – da fehlt nur noch das Happy End zur filmreifen Story. Und das gibt es tatsächlich auch schon, wie unter anderem die Zeit berichtet:

“WannaCry enthält merkwürdigen Code. Schon am Wochenende entdeckte der 22-jährige britische Sicherheitsforscher Marcus Hutchins eher zufällig einen sogenannten Kill Switch in der Software. Indem er eine Domain registrierte, die im Code von WannaCry erwähnt wurde und mit der sich die Software verbinden will, konnte er die Verschlüsselung stoppen und somit viele Betroffene schützen.“

So einfach ist das - wenn man weiss wie.