Eigentlich sollte man doch meinen, dass das Problem mit Ransomware inzwischen so weit bekannt ist, dass es Erpresser nicht mehr schaffen, auf diesem Weg größere Summen zu „erwirtschaften“. Tatsache ist aber, dass offensichtlich viel zu viele Menschen solche Probleme weiterhin konsequent ignorieren. Wenn man dann noch erfährt, dass ein Hoster von so einem Angriff betroffen ist und am Ende ein Lösegeld von 1 Millionen US-Dollar zahlt, dann muss man sich schon fragen, was eigentlich mit den Menschen nicht in Ordnung ist.
Es ist ja nicht nur so, dass da Server infiziert wurden, man könnte angesichts der verwendeten Software-Versionen auf den Maschinen sogar von einer regelrechten Einladung sprechen, die den bösen Buben hier überreicht wurde: ein fast 10 Jahre alter Linux-Kernel, noch ältere Versionen von Apache (die 11 Jahre alte Version 1.3.36) und PHP (5.1.4 vom 4. Mai 2006), alle mit reichlich bekannten Lücken. Und dementsprechend scheinen die Angreifer erst über solche Lücken als User „nobody“ – einem eingeschränkten Nutzer, als der der Apache läuft – auf die Systeme gekommen, um dann über einen lokalen Exploit entsprechend mehr Rechte auf den Maschinen zu erlangen und sie zu verschlüsseln.
Nur um das noch einmal zu wiederholen: Hier geht es nicht um irgendwelche privaten Rechner oder Maschinen eines Unternehmens, welches ansonsten mit IT nichts weiter am Hut hat, es geht hier um einen Hoster, dessen Geschäft es ist, seinen Kunden Server und Ressourcen auf Servern zu vermieten. Man sollte durchaus annehmen dürfen, dass ein Unternehmen, dessen Geschäft eben das Bereitstellen von Webservern ist, auch Mitarbeiter beschäftigt, die sich mit der Absicherung solcher Webserver auskennen. Ja, man sollte eigentlich annehmen können, dass ein solches Unternehmen auch ein bisschen Geld in die Sicherheit und Absicherung der eigenen Server investiert, zum Beispiel über entsprechende Backup-Systeme oder wenigstens regelmäßig Updates der eigenen Systeme durchführt.
In diesem Fall trifft diese Annahme offensichtlich nicht zu. Und um es mal ganz offen zu sagen: Ich würde niemanden raten, sich auf solche Annahmen, seien sie noch so logisch und begründet, zu verlassen. Ich bin zwar seit einigen Jahren nicht mehr primär im Hostinggeschäft unterwegs, aber ich war lange genug bei verschiedenen Anbietern beschäftigt und kenne immer noch mehr als genug Menschen in der Branche und einiges hat sich nicht grundsätzlich verändert, dazu gehört das Thema Preise und dann eben die Kunden. Es mag sich da einiges verbessert haben, aber längst nicht überall.
Wir müssen sparen!
Hosting, egal ob shared Hosting oder gemietete Server, darf nicht zu teuer sein. Die Zahl der Kunden, die bereit ist, für eine solche Dienstleistung auch wirklich Geld in die Hand zu nehmen, ist eher überschaubar und solche Kunden mieten sich dann sehr oft einfach in einem Rechenzentrum ein und stellen eigene Server auf. Die große Mehrzahl der Kunden, die Hostingangebote in Anspruch nimmt, will einfach nur möglichst wenig Geld ausgeben (natürlich erwarten diese Kunden dann auch oft genug eine garantierte Verfügbarkeit von 99,9% für ihren 0,99-Euro-im-Monat-Webspace, aber das ist ein anderes Thema). Um möglichst günstig anbieten zu können, muss man eben sparen, wo es geht. Durch Automatisierung kann man da sicher einiges erreichen, aber oft genug wird man einfach auch an der Sicherheit sparen.
Große Backup-Systeme kosten Geld und meistens braucht man die ja auch gar nicht. Server für Updates runterzufahren kostet auch Geld, schließlich muss man sich dann mit den Kunden auseinandersetzen. Firewalls, die entsprechend leistungsfähig sind, um die Netzwerkanbindung nicht auszubremsen… genau, die kosten auch viel Geld. Ordentliche Dokumentation des Netzwerks kostet Zeit und Zeit ist Geld. Jede Menge Ecken, an denen man sparen kann und an denen dann oft eben leider auch gespart wird. Es ist ja viel zu verlockend.
Der Kunde will aber!
Der Kunde will übrigens seine Dienstleistung nicht nur unglaublich billig, er will auch bitte möglichst keine Veränderungen. Ich kann nicht mehr zählen, wie oft ich bei größeren, lange angekündigten, mit entsprechenden Übergangszeiten eingeführten Updates von PHP dann von Kunden hörte „Sie haben mein Skript kaputt gemacht! Das geht jetzt nicht mehr! Reparieren sie das!“. Egal wie viel Zeit man den Kunden für die Umstellung gegeben hat, geschätzte 10% der Kunden haben irgendein Skript auf ihrem Server, welches irgendwann mal von einem früheren Mitarbeiter installiert wurde, welches keiner mehr kennt, für das es keine Updates mehr gibt und das nur mit einer x Jahre alten PHP-Version laufen will.
Und der Kunde braucht dieses eine Skript natürlich unbedingt! Es ist so wichtig für den Betrieb seines Geschäfts, dass er natürlich die Zeit hat, über Stunden bei seinem bösen Hoster anzurufen, der es wagte, eine 4 Jahre alte PHP-Version von seinen Servern zu verbannen und ihm mit Klagen zu drohen.
Oft genug gibt man als Hoster in so einer Situation einfach auf. Es gibt Hoster, die solche Kunden dann eine Extravereinbarung unterschreiben lassen und sie auf eigene Server mit diesen alten Softwareversionen verschieben, aber manche lassen die alte Software einfach für alle zumindest optional weiter laufen. Es hat schon einen Grund, warum bei vielen Webhostern immer noch alte PHP-Versionen laufen und wenn man sich mal anschaut, wie viele kommerzielle Skripte oder WordPress-Themes heute noch nicht mit PHP7 (Release am 3.12.2015) laufen, dann weiß man auch, woher der Nachwuchs der „Ich will aber die alte Version“-Kunden kommt.
Keine Frage, das Geschäft eines Hosters ist nicht einfach: Da ist auf der einen Seite der Preiskampf, weil immer irgendwo jemand die Leistung billiger anbietet und dann die Kunden, die möglichst alles wollen, nur nicht zu viel Geld dafür ausgeben. Aber ein erfolgreicher Ransomware-Angriff in so einer Größenordnung sollte bei einem Hoster nicht vorkommen – und auch keine Komplettlöschung aller Kundendaten durch einen einzelnen Ex-Mitarbeiter.
Wir werden alle sterben!
Wenn mal wieder ein Fall wie jetzt der des Hosters Nayana bekannt wird, dann muss ich immer an diesen Song denken, ich weiß auch nicht warum…
Jetzt auch für den Mac: Ransomware as a Service
Lehren, die man aus diesem Fall ziehen kann? Nun, zum einen die Tatsache, dass man sich als Nutzer alternativer Systeme nicht bequem zurücklehnen kann: Ransomware ist kein Windows-Problem, gerade Linux läuft auf so vielen Servern, dass man als Erpresser schon verdammt dämlich sein müsste, nicht auch hier Daten als Geisel zu nehmen. Und die andere Lehre: Egal wie viele Backups man selbst macht: Wir speichern inzwischen so viele Daten bei Dritten – ob freiwillig oder nicht – dass wir es kaum noch selbst in der Hand haben, diese Daten zu schützen. Ob vor ungewollter Verschlüsselung oder fremden Zugriff.
Artikelbild von HypnoArt via Pixabay, Lizenz: CC0