Microsoft erneuert angesichts WannaCry-Attacke Forderung nach „Digitaler Genfer Konvention“

Bereits im Februar hatte Microsofts Chefanwalt Brad Smith die Einrichtung einer internationalen Kontrollbehörde vorgeschlagen. Jetzt macht er die Bevorratung von Sicherheitslücken durch NSA und CIA für die aktuellen Ransomware-Vorfälle mitverantwortlich.

Microsofts Chefanwalt Brad Smith hat die seit Freitag für Aufsehen sorgende, weltweite Ransomware-Attacke mit der als WannaCry oder auch als WanaCrypt0r 2.0 bezeichneten Malware zum Anlass genommen, um seine bereits im Februar vorgebrachte Forderung nach einer „Digitalen Genfer Konvention“ zu erneuern. Smith forderte damals US-Präsident Trump auf, zusammen mit Russland neue Normen für den Cyberspace zu etablieren. Seiner Vorstellung nach sollen mit dem auszuarbeitenden Vertragswerk Zivilisten vor staatlich gesteuerten Cyberkriegsaktivitäten geschützt werden. Die einzurichtende Kontrollbehörde könnte sich an der Internationalen Atomenergie-Organisation (IAEO) orientieren.

Microsoft-Präsident Brad Smith (Bild: Microsoft)Microsoft-Präsident Brad Smith (Bild: Microsoft)Smith begründete seine Forderung bereits im Februar damit, dass Geheimdienste zunehmend nach Sicherheitslücken in Software suchen und lange Zeit für sich behalten oder Informationen dazu auf dem Markt aufkaufen und sie dann unter Verschluss halten. Damit erschwerten sie es Herstellern und IT-Sicherheitsunternehmen für die Sicherheit ihrer Kunden zu sorgen. Sorge bereitet Smith vor allem die Gefahr, dass derartige Sicherheitslücken an Kriminelle durchsickern und dann in großem Umfang von ihnen genutzt werden könnten.

Genau das ist jetzt im Fall von WannaCry respektive WanaCrypt0r 2.0 geschehen. Die von der Malware ausgenutzte Schwachstelle, die als ETERNALBLUE oder MS17-010 bekannt ist, wurde ebenso wie die Schadsoftware Doublepulsar oder inzwischen geschlossene Lücken in Firmware von Cisco nach Diebstahl und Veröffentlichung von Hacking-Tools bei der NSA öffentlich bekannt.

Nutzer veröffentlichten bei Twitter zahlreiche Fotos die zeigen, dass die Ransomware WannaCry auch bei Rechnern der Deutschen Bahn zugeschlagen hat (Screenshot: silicon.de <a href="https://twitter.com/Avas_Marco/status/863107445559889921/photo/1" target="_blank">bei Twitter</a>)Nutzer veröffentlichten bei Twitter zahlreiche Fotos die zeigen, dass die Ransomware WannaCry auch bei Rechnern der Deutschen Bahn zugeschlagen hat (Screenshot: silicon.de bei Twitter)

Microsoft hatte bereits im März einen als „kritisch“ eingestuften Patch bereitgestellt, der die von WannaCry ausgenutzte Lücke schließt. Allerdings wurden Sicherheits-Updates für die eigentlich nicht mehr unterstützten Betriebssysteme Windows XP, Windows 8 und Windows Server 2003 erst am späten Freitagabend zur Verfügung gestellt. Rechner, die noch damit laufen, finden sich vielfach immer noch in Firmen, etwa bei der Deutschen Bahn, Einrichtungen des britischen Gesundheitswesens oder auch Providern wie dem spanischen Konzern Telefónica. Sie alle wurden damit auch Opfer der Attacke.

Bereits im Februar hatte Microsoft-Anwalt Smith vorgeschlagen, dass einem zu bildenden, unabhängigen Kontrollgremium Experten aus der Privatwirtschaft und dem öffentlichen Sektor angehören sollten. Ihre Aufgabe wäre es dann, Cyber-Attacken gemeinsam zu untersuchen. Die Technologiebranche solle dabei ähnlich unparteiisch und uneigennützig Hilfe leisten, wie es in Kriegsgebieten das Rote Kreuz tut. Schließlich gehöre der Cyberspace der Privatwirtschaft und werde von ihr betrieben.

Gleichzeitig solle das Gremium dafür sorgen, dass staatliche Cyberaktivitäten nicht gegen privatwirtschaftliche Einrichtungen gerichtet werden. Als ein Beispiel dafür nannte er damals unter anderem den Angriff auf Sony Pictures vor gut zwei Jahren. Er war laut Smith ein Wendepunkt, sei doch erstmals ein privatwirtschaftliches Unternehmen angegriffen worden, weil es sich zum Recht auf Meinungsfreiheit bekannt habe.

Ausdrücklich verurteilt Smith jetzt auch noch einmal den Umgang staatlicher Stellen mit dem Wissen um Sicherheitslücken scharf: „Schließlich ist dieser Angriff ein weiteres Beispiel dafür, warum die Bevorratung von Schwachstellen durch Regierungen so ein großes Problem ist. Das ist ein Muster, das sich 2017 immer stärker abgezeichnet hat. Wir sahen, wie von der CIA gesammelte Sicherheitslücken bei WikiLeaks auftauchten und jetzt hat eine bei der NSA gestohlene Sicherheitslücke Kunden rund um die Welt geschadet.“

Smith weiter: „Wiederholt sind Exploits aus den Händen von Regierungen in die Öffentlichkeit gelangt und haben weitreichenden Schaden verursacht. Ein vergleichbares Beispiel mit konventionellen Waffen wäre etwa, wenn dem U.S. Militär einige ihrer Tomahawk-Marschflugkörper gestohlen würden.“

Seiner Ansicht nach stellt die WannaCry-Atacke eine zwar nicht beabsichtigte aber besorgniserregende Verbindung zwischen den beiden gefährlichsten Formen von Gefahren für die Cybersicherheit her – Aktivitäten von staatlichen Stellen und dem organisierten Verbrechen.

Regierungen weltweit sollten die WannaCry-Attacke daher als Weckruf verstehen. „Sie müssen ihre Einstellung ändern und auf Waffen für den Cyberspace dieselben Regeln anwenden, die für Waffen in der physischen Welt gelten. Regierungen müssen über den Schaden für die Zivilbevölkerung nachdenken, der durch die Bevorratung von Schwachstellen und der Nutzung der dafür gedachten Exploits entsteht.“

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

WEBINAR

Von Software Defined bis Composable – Neue Architekturansätze im Datacenter

Florian Bettges von HPE erläutert in diesem Webinar, wie Unternehmen von hybriden IT-Konzepten profitieren können. Dabei geht er auf die Vorteile der einzelnen Ansätze ein und stellt Konzepte vor, wie die unterschiedlichen Ansätze in Zukunft in hybriden IT-Konzepten ineinander fließen. Jetzt registrieren und Webinaraufzeichnung ansehen.

Themenseiten: Malware, Microsoft, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft erneuert angesichts WannaCry-Attacke Forderung nach „Digitaler Genfer Konvention“

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *