WannaCry: Microsoft kritisiert US-Geheimdienste

Microsoft-Chefjustiziar Brad Smith hat die US-Geheimdienste kritisiert und ihnen eine erhebliche Mitschuld an der Ransomware-Attacke WannaCrypt oder WannaCry vorgeworfen, die inzwischen weltweit schon über 200.000 Windows-PCs befallen hat. Er forderte erneut eine Digitale Genfer Konvention und rief zu gemeinsamem Handeln auf. Regierungsbehörden sollte nicht erlaubt sein, Sicherheitslücken zu bevorraten und auszunutzen. Gleichzeitig versprach er, Microsoft werde Kunden unabhängig von ihrer Nationalität unterstützen und verteidigen, wenn sie Cyberangriffen ausgesetzt sind.

„Das ist ein Grund, warum wir im Februar nach einer ‚Digitalen Genfer Konvention‘ riefen, die diese Probleme regeln sollten“, schreibt Microsofts President und Chief Legal Officer in einem Blogeintrag. „Das sollte die Verpflichtung einschließen für Regierungen, Schwachstellen den Softwareanbietern zu melden, statt sie zu bevorraten, zu verkaufen oder auszunutzen. Und deshalb haben wir unsere Unterstützung für jeden Kunden angesichts von Cyberattacken überall zugesichert, unabhängig von ihrer Nationalität.“ Dieses Prinzip werde in London, New York, Moskau. Delhi, Sao Paulo oder Peking ebenso umgesetzt.

Außergewöhnlich findet Whistleblower Edward Snowden Microsofts offizielle Bestätigung, dass die NSA für den Exploit verantwortlich war, der jetzt den Betrieb britischer Kliniken behinderte. Die britische Bürgerrechtsorganisation Open Rights Group sieht neben der NSA auch den britischen Geheimdienst GCHQ in der Verantwortung. Durch die Snowden-Dokumente sei schon lange bekannt, dass diese beiden eng verbundenen Geheimdienste Schwachstellen und Exploits teilen. Mit ihrer Entscheidung, die für WannaCry genutzte Schwachstelle geheim zu halten statt bei ihrer Behebung zu helfen, hätten sie die erpresserische Ransomware ermöglicht, der auch zahlreiche Krankenhäuser in Großbritannien zum Opfer fielen.

Die WannaCry-Epidemie, bei der Cyberkriminelle Computer verschlüsselten und Lösegeld für die Freigabe forderten, wurde möglich durch einen vom US-Auslandsgeheimdienst NSA entwickelten Exploit. Er wurde mit anderen Windows-Hacking-Tools der NSA von der Hackergruppe Shadow Brokers veröffentlicht. Die meisten Exploits richteten sich gegen ältere Windows-Versionen wie Windows XP und Server 2003. Microsoft bestätigte die Echtheit – eine Gefahr für Nutzer sollte allerdings nicht mehr bestehen, da die zugrunde liegenden Schwachstellen mit „früheren Updates für unsere unterstützten Produkte“ beseitigt wurden. Einige der Sicherheitslücken blieben jedoch ungepatcht, weil sie nur Windows-Versionen betrafen, für die das Unternehmen keinen Support mehr bot – wie etwa das immer noch weit verbreitete Windows XP. Erst nach Ausbruch der WannaCry-Epidemie stellte Microsoft an diesem Wochenende Sicherheitsupdates für das dabei ausgenutzte Sicherheitsloch auch für die eigentlich nicht mehr unterstützten Betriebssysteme Windows XP, Windows 8 und Windows Server 2003 kostenlos zur Verfügung.

„Die WannaCrypt-Exploits, die bei dieser Attacke ausgenutzt wurden, stammten von den von der National Security Agency (NSA) in den Vereinigten Staaten gestohlenen Exploits“, stellte Microsoft-Manager Brad Smith jetzt fest. Er verwies dazu auf von Microsoft gelieferte Sicherheitsupdates, die neuere Windows-Systeme geschützt hätten – aber „viele Computer weltweit blieben ungepatcht. Als Ergebnis davon waren Krankenhäuser, Unternehmen, Regierungen und private Computer betroffen.“

Durch die Ransomware WannyCry kommt nun aber auch Microsoft in die Kritik. ZDNet.com-Autor Stilgherrian wirft Microsoft vor, es sich mit seinen Schuldzuweisungen an die Geheimdienste einerseits und patchunwillige Nutzer andererseits zu einfach zu machen. Er verweist auf Beispiele wie kostspielige Medizintechnik und spezialisierte Software, deren Nutzer auf ältere Windows-Versionen angewiesen sind.

Support für das von WannaCry wohl überwiegend betroffene Windows XP gibt es von Microsoft nur in Sonderfällen und zu vielfach unerschwinglichen Preisen. „Microsoft hätte das kritische Update im März ganz klar an all seine Nutzer ausliefern sollen, nicht nur an jene, die extra bezahlt haben“, kommentiert die New York Times. „Tatsächlich könnte ‚extra Obolus an uns oder wir halten kritische Sicherheitsupdates zurück‘ als eine eigene Form von Ransomware betrachtet werden.“