Aussagen im Tagesschau-Interview zu WannaCry völlig daneben – Stammtischparolen nutzen leider nichts

5 Kommentare Autor: Jürgen (jdo)

Lese ich gewisse Aussagen von Experten, dann ruft das nur noch Unverständnis hervor. Populistisches Stammtischgedresche zum heißesten Scheiß WannaCry schießt mir da durch den Kopf. Das jüngste Beispiel ist das Interview Strafe für ungewarteten PC bei der Tagesschau. Da stellt sich der IT-Experte hin und fordert eine Strafe für Endverbraucher, die zu bequem sind, um Ihren PC zu warten – aber nur für die!

Computerfreaks mit perfekt gesicherten Rechnern …

Besonders blöd ist die Aussage zu den Privatpersonen. Computerfreaks hätten perfekt gesicherte Rechner, bei denen der WannaCry-Virus nicht die geringste Chance hat. Das stimmt – seit März, nachdem Microsoft einen Patch ausgegeben hat. Bis dahin war es aber mehr oder weniger Glück, dass keiner die Security-Lücke gefunden und als 0-Day-Exploit auf die Menschheit losgelassen hat.

Computer-Experten haben sicherlich bessere Schutzmaßnahmen und aktualisierte Rechner im Einsatz – aber der perfekt gesicherte Rechner? Es ist wohl eher so, dass sich (Cyber)-Kriminelle die am niedrigsten hängende Frucht aussuchen. Wenn ich einen Einbruch nur schwerer oder unangenehmer mache, dann sucht sich der böswillige Hacker wahrscheinlich ein anderes Opfer – also eines, bei dem er mit weniger Aufwand zum Erfolg kommt. Das muss man natürlich immer in Relation dazu setzen, was es zu holen gibt.

Den perfekt gesicherten Rechner gibt es nicht - WannaCry hatte keine Chance, weil der Patch seit März da ist

Den perfekt gesicherten Rechner gibt es nicht – WannaCry hatte keine Chance, weil der Patch seit März da ist

Ich gebe dem Mann teilweise Recht, dass diejenigen selbst Schuld sind, die immer noch Windows XP einsetzen. Außerdem ist es heilsam, wenn so etwas wie WannaCry wachrüttelt. Aber Privatpersonen zu bestrafen, weil sie sich einen Virus einfangen, schießt schon reichlich über das Ziel hinaus.

Wenn das System eines Nutzers zweckentfremdet wird, um die Systeme Dritter anzugreifen, muss auch der jeweilige Nutzer haftbar gemacht werden.

So einfach ist das aber leider nicht und das ist einfach populistische Dampfplauderei zum Zwecke der Selbstprofilierung – sorry.

Fangen wir doch mal vorne und nicht hinten an

Warum hackt der Profi-Hacker eigentlich nur auf dem Endverbraucher rum, will den in die Pflicht nehmen und fordert Schadenersatz? Er drischt damit auf das Ende – Anfang und Mitte werden nicht mal erwähnt.

So muss man beispielsweise einen Aufzug in einem Haus auch warten.

Ja, aber was ist denn, wenn der Aufzug bereits mit erheblichen Mängeln ausgeliefert wurde?

Ganz am Anfang steht zunächst mal ein Unternehmen, das die Security-Lücke geschaffen hat. Irgendwer hat also einen Fehler gemacht und die Security-Lücke, die zum WannaCry-Gate führte, in Windows untergebracht. Bis MS17-010 und CVE-2017-0144 war es reines Glück, dass niemand die Security-Lücke entdeckte und bereits früher ausnutzte. Besser gesagt wissen wir das nicht so genau, weil nichts an die Öffentlichkeit gelangt ist.

Nun könnte man sich an dieser Stelle hinstellen und den Schwarzen Peter an Microsoft geben. WannaCry war wegen grober Fahrlässigkeit oder Mängeln in der Qualitätssicherung möglich.

Dazwischen gibt es aber noch einen Schuldigen

Es kommt aber noch besser. Der Fehler war ja bekannt, aber eben nur der NSA. Die wussten genau, was sich damit anstellen lässt und haben die Security-Lücke aber nicht gemeldet. Stattdessen hat man die Security-Lücke in das digitale Waffen-Arsenal gelegt.

Nun könnte man sehr wohl argumentieren, dass die NSA die Software-Firma Microsoft über die Security-Lücke hätte in Kenntnis setzen sollen / müssen. Dann hätte sich die Security-Lücke womöglich viel viel früher schließen lassen – also lange bevor die Shadow Brokers das umstrittene Hacking-Material veröffentlichten.

Wieso drischt der Experte nicht auf die NSA ein? Die sind genauso Mitschuld am WannaCry-Ausbruch. Genau genommen halte ich die NSA für den Hauptschuldigen in diesem Fall.

Ganz anderes Szenario

Der Experte fordert:

Wenn das System eines Nutzers zweckentfremdet wird, um die Systeme Dritter anzugreifen, muss auch der jeweilige Nutzer haftbar gemacht werden.

Das ist ja meine Lieblingsaussage. Nun nehmen wir mal an:

Jemand ist mit dem Notebook unterwegs und konnte Patch XYZ noch nicht einspielen. Nun verbindet er sich mit irgendeinem Netzwerk und fängt sich so einen WannCry-Virus ein. Dann begibt er sich in ein weiteres Netzwerk und infiziert weitere Rechner. Der soll dann haftbar gemacht werden – schon klar. Das ist natürlich rein theoretisch.

Man müsste außerdem erst einmal den Rechner ausfindig machen, von dem das alles ausging. Wenn das ein Notebook auf der Wanderschaft ist, dann viel Spaß bei der Suche. Die Aussagen des IT-Experten im Tagesschau-Interview wirken teilweise wie ganz klassische Wichtigtuerei. Sich nachträglich mit dem erhobenen Zeigefinger hinstellen ist immer einfach. Bei uns in der Gegend nennt man das auch Scheißhausparolen dreschen.

Hier noch ein paar Anregungen für den Experten – da lässt sich sicher auf gut auf dem Endverbraucher rumhacken

Es gehören sich sicherlich alte Systeme aus dem Verkehr gezogen und mehr Aufklärung betrieben. Aber den Endverbraucher (Privatpersonen, Behörden und Firmen) allein in die Pflicht zu nehmen, ist ganz großer Blödsinn. Als nächstes fordert der Typ wahrscheinlich, dass alle ihre Android-Telefone wegwerfen sollen, nur weil der Hersteller keine Updates mehr dafür liefert – Moment mal, die meisten Anwender wissen sicherlich nicht einmal, wann der Support für ihr jeweiliges Gerät eingestellt ist.

Was ist eigentlich mit den ganzen Router-Herstellern, die keine Firmware-Updates mehr liefern? Muss sich Oma Schaluppke wöchentlich informieren, ob es ein neues Firmware-Update für Ihren Home-Router gibt?

Mit den IoT-Geräten (Internet of Things / Internet der Dinge) ist das nächste Chaos schon vorprogrammiert, wenn es da keine Verbesserungen im Security-Bereich gibt. Soll da auch nur der Endverbraucher in die Pflicht genommen werden?

Vielleicht möchte der Herr IT-Experte seine Aussagen noch einmal überdenken. Wobei sich mit Microsoft anzulegen, wird eine Nummer zu groß sein. Die NSA ist unerreichbar und schon gleich zweimal nicht aus Deutschland belangbar. Also haut man eben auf den Schwächsten, der oftmals am wenigsten dafür kann.




 Alle Kommentare als Feed abonnieren

5 Kommentare zu “Aussagen im Tagesschau-Interview zu WannaCry völlig daneben – Stammtischparolen nutzen leider nichts”

  1. Christoph says:

    Sehr gut, ich gebe dir vollkommen recht. Sowas nennt sich IT-Experte. IOT sowie SmartHome ist, wie du schreibst, genauso bedenklich und ich bin sehr skeptisch.

    Super Klarstellung!

  2. gasr says:

    Das war eher ein "Experte" als ein richtiger Experte.
    Ablauf: Hier Praktikant sag du das, du siehst so aus also ob du davon Ahnung hast.
    Praktikant: Wannkri was ist wannkri? Noch nie gehört aber egal, da komme ich wenigstens vor die Kamera und kann bei meinen "Freunden" angeben.

  3. Struppi says:

    Waren vom wannaCry nicht überwiegend Netzwerke z.b. in Krankenhäuser betroffen?

    Soweit ich das gelesen habe, erfolgte zumindest die Verbreitung über eine Lücke in der Netzwerkfreigabe, das dürfte etwas sein, was der Privatanwender eher selten nutzt.

    Und das Experten immer das Beste nutzen können dürfte auch nur bedingt stimmen. Gerade wo viel gemessen wird kommen oft alte - sehr alte - Rechner zum einsatz, da Meßgeräte auch mal 20 Jahre laufen, aber die Firma natürlich keine Software für Windows 10 dafür liefert. Wir haben einige XP oder auch NT4 Rechner im Einsatz (die aber dann hier nicht mehr im Netz sein dürfen, da haben die Admins dann doch etwas dagegen.)

    • jdo says:

      Ich glaube die Krankenhäuser hat es am schlimmsten getroffen. Verwundbar waren aber etliche andere auch.

  4. holger says:

    Der ÖR Rundfunk arbeitet halt fleissig daran, das Image der "Lügenpresse" aufrecht zu erhalten...