+
Falk Garbsch ist Pressesprecher des Chaos Computer Clubs.

Cyber-Sicherheit

„Deutsche Dienste melden die Schwachstellen nicht“

  • schließen

Experte Garbsch vom Chaos Computer Club spricht im Interview über tolerierte Schwachstellen im Netz.

Seit Anfang der 80er-Jahre warnt der Chaos Computer Club (CCC) vor Sicherheitslücken im Netz. 1984 sorgten die Hacker erstmals für Schlagzeilen, als sie Schwachstellen bei der Hamburger Sparkasse aufdeckten und Geld abhoben. Sie gaben es zurück.

Herr Garbsch, innerhalb weniger Wochen hat es jetzt die zweite massive Cyber-Attacke gegeben, die die Weltwirtschaft getroffen hat. Müssen wir uns an solche Angriffe gewöhnen?
Experten hatten ja bereits angekündigt, dass es nach WannaCry eine weitere Attacke geben könnte. EthernalBlue, die Sicherheitslücke von WannaCry, wird tatsächlich auch von dem neuen Virus ausgenutzt. Diesmal ist aber eine neue Qualität zu erkennen.

Wie äußert die sich?
Verblüffend, wie viele Angriffswege in den Trojaner NoPetya gepackt wurden. War er in einen Rechner eingedrungen, konnte er die Administratoren-Funktion in einem Netzwerk übernehmen. Damit konnte er auch aktuelle Windows-Versionen angreifen, was WannaCry nicht möglich war. Vor allem auf politischer Ebene müssen Maßnahmen ergriffen werden, um die Gefahren in Zukunft eingrenzen zu können. Je schneller die Regierungen damit anfangen, die Sicherheitslücken von den kriminellen Märkten abzugraben, umso besser.

Was heißt das konkret?
Zur Erinnerung: Die Sicherheitslücken in den Windows-Systemen, um die es bei den Attacken geht, sind vom amerikanischen Geheimdienst NSA entdeckt und gehortet worden. Durch eine Gruppe namens Shadow-Brokers wurde diese Anfang dieses Jahres veröffentlicht. Die Folgen spüren wir jetzt. In der vergangenen Woche hat die Bundesregierung beschlossen, dass die Geheimdienste Staatstrojaner zur Gefahrenabwehr einsetzen dürfen. Das bedeutet: Auch die deutschen Dienste müssen Sicherheitslücken geheim halten, um erfolgreich arbeiten zu können. Sie melden die Schwachstellen nicht. Aus unserer Sicht müssen die Sicherheitslücken aber gemeldet und geschlossen werden, damit sie nicht auf kriminelle Märkte gelangen.

Die Regierung behauptet, dass die Geheimdienste so arbeiten, um die Sicherheit des Landes zu schützen.
Zurzeit zeigt sich, dass Kriminelle diese – von der NSA entdeckten – Sicherheitslücken nutzen, um die IT-Infrastruktur von Unternehmen zu attackieren und unberrschbar zu machen. Aber das Thema ist noch weitreichender.

Wer ist noch gefordert?
Hersteller von Software. Auch Firmen, die Software einsetzen und Privatpersonen, die sie nutzen. WannaCry hätte nicht so eingeschlagen, wenn alle Nutzer rechtzeitig ihre Updates gemacht hätten. Außerdem handeln viele Leute noch immer gedankenlos, wenn sie Software aus unsicheren Quellen runterladen oder fragwürdige E-Mails öffnen.

Das könnte Sie auch interessieren

Mehr zum Thema

Kommentare

Liebe Leserinnen und Leser,

wir bitten um Verständnis, dass es im Unterschied zu vielen anderen Artikeln auf unserem Portal unter diesem Artikel keine Kommentarfunktion gibt. Bei einzelnen Themen behält sich die Redaktion vor, die Kommentarmöglichkeiten einzuschränken.

Die Redaktion