Wenn die Geheimwaffe in falsche Hände gerät

Filme am Sonntagnachmittag können so herrlich entspannend sein. Häufig laufen dort alte Agentenfilme, wo die Bösewichte supergeheime Waffen aus staatlicher Entwicklung klauen. Bewaffnet mit Laserkanonen und Co gehen sie auf Raubzug, bevor sie in letzter Minute der Held stoppt. Kurz vor der Katastrophe klicken die Handschellen und die Geheim-Organisationen werden dingfest gemacht. Dieser Blog erzählt eine ähnliche Geschichte, nur sind hier die Helden rar, die Bösewichte nicht gefasst und die Geheimwaffe könnte sich auf ihrem Rechner befinden.

Es ist eine Geschichte mit vielen Unbekannten und sie begann mit einem „Leak“ (hier: nicht autorisierte Veröffentlichung von Informationen und Dateien). Eine Hacker-Gruppe namens Shadow Brokers hatte auf den Servern der US-Behörde NSA eine Reihe Angriffswerkzeuge (Software) gefunden und alles in Netz gestellt. Wer die Shadow Brokers sind – weiß man nicht, diverse Geheimdienste würden viel für diese Information zahlen. Zuerst wollte man damit Geld machen und verlangte die bescheidene Summe von 568 Millionen US-Dollar für die Aushändigung des brisanten Archivs. Da Käufer verständlicherweise ausblieben, brachte man das komplette Archiv umsonst in den Umlauf, verbunden mit einem flammenden Appell an Präsident Trump, diverse Wahlversprechen einzuhalten. Verwirrend, oder?

Ein klärendes Statement der Behörden zu der Software blieb aus (ist ja auch mächtig peinlich, wenn man seine Waffen an Hacker verliert), Experten gehen jedoch von deren Echtheit aus. Richtig aktiv wurden jedoch andere Unbekannte (kein James Bond-Film ist so nebulös!), die sich diese Software nahmen und für eigene Zwecke umbauten. Die NSA hatte hier eine Schwachstelle von Windows gefunden, die sie über die Software ausnutzten und somit eine Steilvorlage für Kriminelle geboten. Die änderten den Code und Doublepulsar war geboren und wurde so rasch wie möglich verbreitet. Das Ziel: per Fernzugriff unbemerkt Schadsoftware in Windows einzuschleusen.

Doublepulsar soll bereits ca. 200.000 Windows-Rechner infiziert haben, vorwiegend in den Vereinigten Staaten, Hongkong und China. Ob Vista, Windows 7, 8 oder 10 oder diverse Windows-Server – alle hatten diese kritische Sicherheitslücke. Das Perfide daran – die eigentliche Schadsoftware verschwindet beim nächsten Neustart, nur die zusätzliche Malware, die das Programm einschleust, bleibt zurück. So kann man zwar den Schaden analysieren, die eigentliche Methode wird aber verschleiert. Nur wenn man den Rechner auf eine bestimmte Art kontaktiert (für Spezialisten: es wird ein Ping an Port 445 gesendet), kann man die infizierten Geräte überhaupt identifizieren. Und selbst das bezweifelt Microsoft, eine alternative Methode bietet man allerdings auch nicht an.

Betroffen sind dabei Windows-Rechner, die nicht regelmäßig Sicherheits-Updates bekommen. Denn Microsoft war bereits Mitte März aktiv geworden, jene Lücken, die Doublepulsar nutzt, zu schließen. Der Patch MS17-010 sperrte die Software aus, nur wer sein Windows Update deaktiviert hatte oder Rechner betrieb, bei denen Administratoren die Updates verwalteten und oftmals verspätet freigaben, geriet in Gefahr. Möchte man also unbedingt einen Helden in dieser Geschichte finden, so kann mal Microsofts schnelle Reaktion loben - oder natürlich kritisieren, dass es diese Lücke überhaupt gab, die Entscheidung liegt bei Ihnen. Bill Gates in Heldenpose würde ich aber zu gerne sehen, daher tendiere ich zu Lob für Microsoft.

Der Vorgang wirft eine weitere Frage auf: Wie kann man verhindern, dass eine Software in falsche Hände gerät? Denn nutzt z.B. ein Geheimdienst eine solche Software für seine Operationen, stehen die Chancen gut, dass sie auch gefunden wird. Ob es Kommissar Zufall ist, bei dem ein Hacker darüber stolpert, ein gegnerischer Geheimdienst fündig oder eine Firma aus der IT-Sicherheit misstrauisch wird – es finden sich meistens Spuren. Und ist ein solches Werkzeug dann bekannt, werden sich dunkle Gestalten bemühen, es für eigene Zwecke zu nutzen. Früher brauchte man Jahre und ganze Werkstätten, um echte Waffen nachzubauen oder zu modifizieren, bei Schadsoftware sind es nur Stunden / Tage vor dem Rechner.

Und so bleibt es abzuwarten, was noch aus der NSA-Software Unschönes gebastelt wird. Falls bald überraschende Updates erscheinen – könnte es durchaus einen sehr aktuellen Anlass geben. Es zeigt sich, dass regelmäßige Sicherheits-Updates entscheidend sein können – wenn die Firmen selbst schnell reagieren. Und es macht überdeutlich, dass Spionage-Software eine doppelte Gefahr birgt. Sie kann nicht nur von den staatlichen Organisationen selbst missbraucht, sondern auch nach der Enttarnung von Anderen zweckentfremdet werden. Die nötigen Fähigkeiten sind auch auf der Gegenseite allemal vorhanden und eventuelle Sicherheitslücken stehen allen Parteien offen. Und so bleibt uns nur die Hoffnung, dass die Guten schlau sind und gewinnen – und damit wären wir wieder bei den Agentenfilmen.