WannaCry hat es erst auf rund 100.000 oder mehr Windows-Rechner und dann in alle Nachrichten geschafft, dieser Ransomware-Trojaner dürfte inzwischen jedem bekannt sein. Und IT-Sicherheitsexperten sind gefragte Interviewpartner, was manche von denen aber erzählen, lässt einen kopfschüttelnd zurück. Ein Beispiel für ein solches Kopfschüttelinterview ist das vom Deutschlandfunk mit Sandro Gaycken. Bei der Überschrift denkt man sich noch so, dass diese Aussage doch nicht alles sein könne:
“Wenn die Daten wichtig sind, würde ich empfehlen zu zahlen”
Das sind ja nun ganz andere Töne, als die, die man sonst hört. Ansonsten lautet die Empfehlung bei Erpressung doch immer, dass man eben nicht zahlen solle, denn wenn man einmal zahlt, dann zeigt man den Erpressern damit nur, dass man zahlungswillig ist – das wird dann möglicherweise immer wieder ausgenutzt. Sandro Gaycken empfiehlt dagegen zu zahlen und zwar schnell, wenn es um wichtige Daten ginge, denn gerade die große Aufmerksamkeit rund um WannaCry könnte dafür sorgen, dass die Verursacher Panik bekommen und „die Operation bald runterfahren werden, also keinen Schlüssel mehr ausgeben“. Damit wären dann „alle verschlüsselten Rechner verloren“. Gut, er meint sicherlich, dass die verschlüsselten Daten und nicht gleich die ganzen Rechner verloren wären und natürlich hat er mit dieser Annahme durchaus Recht, ist ja naheliegend. Andererseits vergisst er an dieser Stelle auch eine weitere Option: Die Kriminellen fahren alles runter, geben keine Schlüssel raus, kassieren die Bitcoin-Zahlungen aber trotzdem. Immerhin, ob klein oder groß, ein Erpresser ist nun nicht unbedingt jemand, dem man blind vertrauen sollte, oder?
Zagatta: Also Sie raten, habe ich Sie jetzt richtig verstanden, zu zahlen? Nein, nicht zu zahlen, oder …
Gaycken: Doch, zu zahlen, auf jeden Fall zu zahlen.
Zagatta: Man soll zahlen.
Gaycken: So schnell zu zahlen wie möglich.
Zagatta: Aber damit fördern Sie doch diese Kriminalität.
Gaycken: Na ja, entweder das, oder Sie kriegen Ihre Daten nie wieder zurück. Das müssen Sie wissen, wenn die Daten wichtig sind, dann würde ich empfehlen zu zahlen.
Aber was mich dann doch leicht entsetzt hat: Im ganzen Interview kein Wort von „Backup“. Klar, einige Menschen werden keine Backups haben, es gibt immer wieder welche, die die Notwendigkeit einer Datensicherung nur auf die harte Tour lernen. Hoffentlich kommt nun keiner von denen nach der Lektüre des Interviews auf die Idee, es gäbe keine Alternative zum Zahlen in so einem Fall.
Richtig wäre folgende Aussage im Interview gewesen:
“Wenn die Daten wichtig sind, dann gibt es davon ein Backup – sonst muss man eben zahlen”
Aber wie erwähnt, „Backup“ oder „Sicherheitskopie“ sucht man im Interviewtext vergeblich. Natürlich interessieren sich die Betroffenen gerade jetzt mehr dafür, wie sie ihre verschlüsselten Daten wiederbekommen und weniger dafür, wie man sich vorab vor so einer Erpressung schützen kann, aber deswegen sollte man das Thema doch nicht unter den Tisch fallen lassen.
Nicht die Geheimdienste sind schuld?
Übrigens hat Sandro Gaycken auch eine Meinung zur Frage, ob es möglicherweise eine gewisse Mitschuld der Geheimdienste geben könnte, schließlich sammeln die Schlapphüte alle Sicherheitslücken, derer sie habhaft werden können und verheimlichen die, statt sie an die Hersteller zu melden.
Nun gibt es Menschen die der Meinung sind, dass die Leaks solcher beim Geheimdienst gesammelten Lücken eine gute Sache wäre, schließlich könnten diese erst geschlossen werden, wenn sie bekannt werden. Andere, darunter auch Sandro Gaycken, sehen das anders. Im Gegenteil, er sieht in solchen Leaks ein Problem, denn sie brächten keinen Erkenntnisgewinn, da wir alle ja schon wüssten, dass die Geheimdienste alles unternehmen, um möglichst aller Daten habhaft zu werden. Diese Veröffentlichung konkreter Lücken und Angriffstools, die von den Geheimdiensten genutzt werden, würden aber nur ermöglichen, dass „selbst äußerst untalentierte Angreifer diese Angriffe auf militärischem Niveau sozusagen nutzen und dann massenhaft in die Welt schießen“.
Ganz falsch ist das zwar nicht, aber auch wenn diese Lücken nicht aus dem Fundus eines Geheimdienst heraus veröffentlicht würden: früher oder später wird jede dieser Lücken in entsprechenden Kreisen bekannt werden. Über die Frage, ob es wirklich besser ist, wenn so eine Lücke zumindest anfangs nur von den talentierten Angreifern genutzt wird, die sie selbst gefunden haben, kann man durchaus geteilter Meinung sein.
Auf der anderen Seite kann man nicht ignorieren, dass die Veröffentlichung solcher Lücken aus den virtuellen Giftschränken der Geheimdienste einen gewissen politischen Druck erzeugen, der möglicherweise irgendwann dazu führen könnte, dass das Horten dieser Lücken ein Ende nimmt und die Geheimdienste verpflichtet werden, mit den Herstellern der Systeme zu kooperieren, um deren System sicherer zu machen. Auch wenn das wohl noch lange dauern wird…
Update: Je intensiver man sich mit den Erkenntnissen rund um WannaCry befasst, desto unsinniger wird die Empfehlung des Sicherheitsexperten Sandro Gaycken. Es geht inzwischen nicht mehr nur um einen Rat, der ganz grundsätzlich unvollständig und eher zweifelhaft ist, wenn man zusammenträgt, was bislang zu WannaCry bekannt ist, dann könnte die Empfehlung auch lauten
“Schlachten Sie ein Huhn und verschmieren sie das noch warme Blut auf dem Display”.
Klingt nach einer dummen Idee? Ist es auch: Genau so dumm, wie zu zahlen. Man kann es nicht oft genug sagen:
Zahlt den Erpressern hinter WannaCry nichts, gar nichts. Wenn ihr kein Backup habt, dann verabschiedet euch von den betroffenen Daten, ihr werdet sie nie wieder sehen, egal ob ihr zahlt oder nicht!
Denn zum einen ist es eher unwahrscheinlich, dass eine Entschlüsselung überhaupt möglich ist. Denn der Trojaner enthält laut Check Point zwei Module zur Ver- und Entschlüsselung, eines für eine „Demo“, bei der zehn Dateien wieder entschlüsselt werden können, das andere für den ganzen Rest, bei dem eine Entschlüsselung angeblich nach einer Zahlung möglich sein soll. Das alleine ist schon sehr seltsam, aber noch nicht alles.
Viel schwerer wiegt die Tatsache, dass WannaCry keine Möglichkeit vorsieht, den Zahler des erpressten Betrags irgendwie mit dem befallenen Rechner in Verbindung zu bringen. Das würde nur Sinn ergeben, wenn es nur einen einzigen Schlüssel für das Entschlüsseln der Daten gäbe, den dann aber jeder bekäme, der zahlt. Das wiederum würde ja bedeuten, dass nur ein einziger Betroffener den Schlüssel für die Entschlüsselung veröffentlichen müsste, dann könnte jeder seine Daten wieder bekommen.
Damit kommen wir zum nächsten Punkt: Bei Twitter postet @actual_ransom jedes Mal eine Nachricht, wenn eine der drei mit WannaCry in Verbindung stehende Bitcoin-Wallets eine Zahlung erhalten. Hier gehen auch immer wieder Zahlungen ein, ingesamt rund US$65.000 (16.05.2017, 12:40 Uhr), es haben also schon einige Menschen bezahlt. Es ist aber bislang noch kein Fall bekannt, in dem ein Opfer nach der Zahlung einen Entschlüsselungskey erhalten hat, geschweige denn ein Fall einer erfolgreichen Entschlüsselung der Daten.
Angesichts dieser Informationen kann man nur davor warnen, den Erpressern nachzugeben und zu zahlen, denn im Endeffekt verliert man dann nicht nur die Daten, sondern auch noch das Geld.
Beitragsfoto von BenjaminNelan via Pixabay, Lizenz: CC0
