#2 WannaCry 2017 – Der Angriff, der die Welt wachrüttelte

00:00:00: Dieser Podcast wurde inhaltlich von Nikolaus Stapels zusammengestellt.

00:00:04: In dieser Reihe erzählen wir wahre Geschichten aus der Welt der Cyberkriminalität, der IT-Sicherheit und digitaler Risiken.

00:00:11: Es sind Geschichten die zeigen wie schnell Unternehmen verwundbar werden können und wie wichtig es ist aus den Fehlern anderer zu lernen bevor man selbst betroffen ist.

00:00:20: Ich bin Nora

00:00:21: Und ich bin Nico.

00:00:22: Stell dir mal vor du bist Schichtleitung in der Notaufnahme von einem richtig großen Krankenhaus.

00:00:30: Es ist Freitag Nachmittag, der zwölfte Mai.

00:00:34: Der ahnt man ja eigentlich schon nichts Gutes oder?

00:00:37: Freitagnachmittag in der IT.

00:00:38: Ja absolut!

00:00:39: Der absolute Klassiker Also ein Notfallpatient ist auf dem Weg.

00:00:44: Du willst schnell am Rechner die Akte aufrufen um mal kurz die Blutgruppe zu checken aber der Bildschirm ist einfach schwarz und dann taucht da plötzlich so'n blutrotes Fenster auf.

00:00:56: Da steht in so ganz eckigen Buchstaben Ups, your files have been encrypted.

00:01:01: Ein absoluter Albtraum!

00:01:02: Ja total.

00:01:03: und während du halt noch versuchst irgendwie panisch den IT-Support zu erreichen, ruft ein Kollege aus der Radiologie an die MRT-Scanner reagieren nicht mehr.

00:01:11: Wahnsinn.

00:01:12: Und ein paar Minuten später meldet sich dann auch noch die Blutbank.

00:01:16: Die ganzen vernetzten Kühlschränke übermitteln ihre Temperaturen nicht mehr.

00:01:19: Die Rettungswagen, die gerade noch mit Blau dich zu euch unterwegs waren, die müssen über Funk an ganz andere, total weit entfernte Kliniken umgeleitet werden.

00:01:28: Und das Schlimme ist, dieses Szenario, dass du da gerade beschreibst.

00:01:31: Das war an diesem Tag für über ein Drittel der Englischen Krankenhausverbünde, also dieses National Health Service, kurz NHS – das war brutale Realität!

00:01:41: Das muss man sich mal auf die Zunge zergehen lassen?

00:01:44: Ja absolut.

00:01:45: Wir sprechen davon einem Angriff, der fast zwanzigtausend Operationen und Termine einfach lahmgelegt hat.

00:01:51: Die mussten abgesagt werden.

00:01:53: Heftig!

00:01:54: Da ging es dann... Plötzlich überhaupt nicht mehr um irgendwelche IT-Ausfälle, sondern um echte akute Patientensicherheit.

00:02:01: Und das war ja nur ein einziger Sektor.

00:02:03: Stimmt!

00:02:04: Da war noch viel mehr.

00:02:05: Genau zeitgleich standen zum Beispiel bei Renault und Nissan einfach die Fließbänder still.

00:02:10: Bei der Deutschen Bahn sind Rheinweise die Anzeigetafeln ausgefallen – und beim Logistiker FedEx brach wirklich das totale Chaos aus.

00:02:18: Genau diese Spurensuche machen wir heute.

00:02:21: Wir schauen uns an, wie dieser Angriff der dann unter dem Namen WannaCry in die Geschichte einging, wie er überhaupt so eine globale Wucht entfalten konnte.

00:02:30: Der Gesamtschaden wird im Nachhinein auf bis zu vier Milliarden US-Dollar geschätzt.

00:02:36: sofort

00:02:36: auf, dass hier etwas fundamental anders lief als sonst.

00:02:40: Also normalerweise kennen wir Ransomware also Erpressungssoftware als ein Problem bei dem jemand aus Versehen einen schädlichen E-Mail-Anhang öffnet.

00:02:49: Genau Fishing und so weiter.

00:02:50: Richtig!

00:02:51: Jemand muss quasi aktiv die Tür aufmachen ne?

00:02:54: Aber bei WannaCry war das ja überhaupt nicht nötig.

00:02:57: Das kam wirklich wie so ein hoch ansteckendes Virus einfach durch die digitalen Lüftungsschächte.

00:03:03: Ja, der technische Begriff dafür den man da verwendet ist eigentlich einen Computerwurm!

00:03:08: Okay... was ist der Unterschied?

00:03:11: Also im Gegensatz zu so klassischer Ransomware, die einfach nur den einen Rechner verschlüsselt auf dem sie halt gerade ausgeführt wird hat so'n Wurm eine eingebaute vollautomatische Ausbreitungsroutine.

00:03:22: Ah okay Das heißt, WannaCry suchte aktiv nach anderen Rechnern im lokalen Netzwerk.

00:03:29: Und nicht nur das – der Wormscannte auch das komplette offene Internet nach weiteren potentiellen Zielen ab.

00:03:36: O Gott!

00:03:36: Das heißt er sucht sich seine Opfer selbst?

00:03:38: Exakt und sobald er einen ungeschützten Rechler gefunden hat, infizierte er den.

00:03:44: Und dieser neue Rechlar fing dann im selben Bruchteil einer Sekunde ebenfalls an, nach noch mehr neuen Opfern zu suchen.

00:03:51: Das ist dann diese exponentielle Ausbreitung.

00:03:53: Ganz genau!

00:03:54: Das erklärt diese wahnsinnig rasende Ausbreitungsgeschwindigkeit von schätzungsweise dreihunderttausend infizierten System in über einhundertfünfzig Ländern und das ganze innerhalb von gerade mal vierundzwanzig Stunden.

00:04:07: Das ist

00:04:07: so krass.

00:04:08: Aber warte mal, wenn der Wurm überhaupt keine E-Mails oder ahnungslose Nutzer brauchte dann muss er doch irgendeine Art strukturelle Schwachstelle in den Systemen selbst ausgenutzt haben?

00:04:19: Oder also eine Art universellen Generalschlüssel, der bei unglaublich vielen Rechner einfach gepasst hat?

00:04:25: Ja!

00:04:26: Den gab's leider... Die Schwachstelle lag in einem Protokoll von Microsoft Windows, das nennt sich Server Message Block Version I. Kurz einfach SMBVI.

00:04:39: Das ist ein Netzwerkprotokoll, das standardmäßig für Datei- und Druckerfreigaben genutzt wird.

00:04:45: Das kommuniziert über diesen Netzwerksport Vierhundertfünfundvierzig.

00:04:49: Wofür wurde das ursprünglich überhaupt gebaut?

00:04:51: Das

00:04:52: wurde eigentlich schon in den frühen Neunzigern entwickelt, einfach um in geschlossenen vertrauenswürdigen Büro-Netzwerken bequem Dokumente austauschen zu können.

00:05:00: Also sowas wie ich schick das mal kurz auf den Drucker im Flur?

00:05:02: Genau so was!

00:05:03: Es war also nie wirklich nie dafür gedacht dem feindlichen Umfeld des offenen Internets ausgesetzt zu sein und WannaCry nutzte halt eine extrem kritische Lücke in genau diesem alten Protokoll.

00:05:16: Weißt du was mich an der Stelle immer so richtig fasziniert, also fasziniert im negativen Sinne?

00:05:20: Das ist die Herkunft von diesem Werkzeug.

00:05:23: Die Hacker, die hinter WannaCry steckten, haben diese Lücke ja gar nicht selbst gefunden,

00:05:27: richtig?!

00:05:28: Nee!

00:05:28: Absolut nicht...

00:05:29: Der sogenannte Exploit, also die Methode um diese Lücke quasi aufzubrechen heißt ja Eternal Blue und dieses Werkzeug das stammt aus dem Arsenal der NSA, also dem US-Auslandsgeheimdienst.

00:05:42: Ja da wird's dann richtig wild.

00:05:43: Wenn ich das richtig verstehe, wusste der Geheimdienst über fünf Jahre lang dass praktisch jedes Windows-System weltweit diese offene Flanke hat und die haben dieses Wissen einfach für eigene Spionagezwecke gehortet.

00:05:56: Genau!

00:05:56: Das haben sie getan Und die geopolitischen Implikationen davon waren enorm.

00:06:01: Die NSA nutzte dieses Eternal Blue um eine Art digitalen Pufferüberlauf aus zu lösen einen sogenannten Bufferoverflow in diesem SMB Protokoll.

00:06:11: Lass uns das mal kurz für alle greifbar machen.

00:06:13: Ein Puffer-Überlauf klingt ja immer so abstrakt, im Grunde korrigier mich wenn ich falsch liege kann man sich den Arbeitsspeicher von so einem Computer wie eine riesige Wand vor der Postfächer in einem Bürogebäude vorstellen.

00:06:29: Jedes Programm hat da sein eigenes Fach für Daten Und die NSA hat quasi einen Weg gefunden, so extrem viele Daten in dieses eine Fach des SMB-Protokolls zu stopfen dass die überschüssigen Daten in den benachbarten Fächer überlaufen.

00:06:43: Ja und wenn in diesen benachbatten Fächern dann zuverlicht das interne Handbuch des Computers liegt also die Anweisungen was der Rechner tun soll kann man diese Anweisung einfach mit eigenen Befehlen überschreiben.

00:06:55: Das ist eine sehr treffende Analogie hier.

00:06:57: Durch dieses gezielte Überlaufen konnten die Angreifer dann dem fremden Rechner befehlen, einfach komplett eigenen Code auszuführen.

00:07:05: Krass!

00:07:06: Eternal Blue war dabei gewissermaßen das Brecheisen.

00:07:09: Das Ding dass die Tür aufhebelt.

00:07:12: und sobald die Tür offen war installierten sie ein weiteres Werkzeug namens DoublePulsar.

00:07:17: Was genau macht das dann?

00:07:18: Das war der Keil, den man in dem Türrahmen klemmt sozusagen.

00:07:22: Eine unsichtbare Hintertür die dauerhaft im System blieb so dass die Angreifer jederzeit unbemerkt zurückkehren und die volle Kontrolle übernehmen konnten.

00:07:30: Und dann passiert immer prill, zwei tausend siebzehn also wirklich nur ein Monat vor diesem geldweiten Ausbruch... ...das völlig unfassbare Eine Heckergruppe, die sich der Shadow Brokers nennt.

00:07:42: Die veröffentlicht genau diese gestohlenen NSA-Werkzeuge einfach völlig frei im Internet.

00:07:48: Ja quasi zum Mitnehmen für jeden!

00:07:51: Genau Jeder Kleinkriminelle konnte sich plötzlich mit den besten Cyberwaffen eines Supermachtgeheimdienstes ausstatten.

00:07:58: Ich kann mir kaum vorstellen, wie extrem die Reaktion dabei Microsoft gewesen sein muss als die gemerkt haben, dass ein Geheimdienste das Risiko für Milliarden von Windows-Nutzern über Jahre einfach so in Kauf genommen

00:08:11: hat!

00:08:13: Microsoft hat er tatsächlich mit einer beispiellosen Schärfe reagiert, deren Chefjustizjahr hat damals einen Blockpost verfasste in der Branche wirklich Einschlug wie eine Bombe.

00:08:22: Er

00:08:23: hat diesen Vorfall aus der physischen Welt damit verglichen als hätte das US-Militär einfach zugelassen dass ihm Tomahawk Marschflughörper aus dem Arsenal gestohlen werden.

00:08:34: Das ist meine Ansage.

00:08:35: Ja, die Kernaussage war ganz klar!

00:08:37: Regierungen dürfen solche extrem kritischen Schwachstellen nicht für sich behalten – wenn sie die finden müssen Sie die Hersteller informieren.

00:08:45: Weil dieses Horten einfach ein völlig inakzeptables Risiko für die globale Wirtschaft und Gesellschaft darstellt.

00:08:51: Verstehe.

00:08:52: Aber Microsoft hatte da doch schon ein Update, oder?

00:08:55: Genau.

00:08:55: Microsoft hatte glücklicherweise durch Geheimdienstkreise wohl schon etwas früher Wind von der ganzen Sache bekommen – die haben bereits im März, zwei Monate vor WannaCry einen Patch namens MS-XXX-Zähn veröffentlicht, der genau diese Lücke schließen sollte!

00:09:12: Dass das Update schon zwei Monate verfügbar war und trotzdem diese weltweite Zerstörung passierte, darüber müssen wir gleich noch intensiv sprechen….

00:09:20: Das ist ja der Wahnsinn eigentlich.

00:09:22: Aber lass uns chronologisch bleiben, an diesem zwölften Mai diese digitale Epidemie wütet weltweit und gestoppt wird sie – und das ist mein absoluter Lieblingsteil der Geschichte!

00:09:34: Nicht von einem Milliarden-Dollar schweren Cyber-Defense-Center sondern von einem zweiundzwanzigjährigen Sicherheitsforscher namens Markus Hutchins.

00:09:43: Ja aus seinem Kinderzimmer in England heraus?

00:09:46: Genau Wenn man sich so eine Cyberwaffe von diesem Kaliber ansieht, würde man doch erwarten dass man ein ganzes Team von Experten braucht um den Code zu knacken.

00:09:54: Stattdessen hat er einfach eine Webdomänen für zehn Dollar registriert!

00:09:58: Wie passt das denn zusammen?

00:10:00: Das war tatsächlich einen extrem entscheidender Fehler im Design der Mellware selbst.

00:10:04: Hutchens, der in der Szene unter dem Pseudonym Maruetec arbeitete, der hat den Code des Wurms einfach analysiert und dabei fand er eine extrem lange völlig zufällig wirkende Webadresse, die fest in den Code eingebaut war.

00:10:20: Er stellte dann fest, dass diese Domain noch komplett frei und unregistriert war.

00:10:24: Um einfach mal zu verstehen was da überhaupt passiert, registrierte er sie.

00:10:28: Er leitete den Datenverkehr der malware dann in ein sogenanntes Sinkhole um

00:10:33: Ein Synco, was genau ist das in dem Kontext?

00:10:36: Das ist quasi wie eine Art schwarzes Loch im Netzwerk.

00:10:40: Sicherheitsforscher nutzen das um einfach nur zu zählen, wie viele verschiedene Rechner gerade versuchen diese spezielle Adresse aufzurufen.

00:10:47: Er wollte schlicht das geografische Ausmaß der Infektionen messen.

00:10:51: Er wollte also nur mal gucken wie schlimm es wirklich ist.

00:10:53: Genau.

00:10:54: Aber durch dieser reine Beobachtung hat er das System dann ungewollt komplett sabotiert.

00:11:01: Wannacry hatte offenbar eine Funktion eingebaut, die vor jeder einzelnen Verschlüsselung prüfte ob genau diese kryptische Adresse erreichbar war.

00:11:11: Richtig!

00:11:12: Solange die Domain unregistriert war bekam die Morroware keine Antwort und wütete einfach munter weiter.

00:11:19: aber als Hatchin sie kaufte und plötzlich eine Antwort zurück kam da schaltete sich der Wurm schlagartig auf den ganzen Welt

00:11:27: ab Ein eingebauter Notausschalter ein sogenannter Kill Switch.

00:11:31: Aber da fragt man sich doch, warum sollten Angreifer eine Selbstzerstörung in eine Waffe einbauen die sie doch eigentlich so weit wie möglich verbreiten wollen?

00:11:39: Das wirkt auf den ersten Blick total widersinnig.

00:11:42: Auf den ersten blick ja aber die Logik dahinter stammt aus den typischen Techniken zur Umgehung von Virenscannern.

00:11:49: Sicherheitsforscher analysieren verdächtige Software sehr oft in sogenannten Sandboxes.

00:11:54: das sind diese isolierten Umgebungen oder

00:11:57: Genau, das sind isolierte künstliche Umgebungen die der Mailware aber vorgaukeln.

00:12:01: Sie befände sich auf einem echten normalen Rechner mit Internetzugang und um die Mailware zu täuschen fangen Sandboxes jede Anfrage an das Internet ab und senden immer ein Ja bin erreichbar zurück

00:12:13: egal was für einen Quatsch die Mailwear anfragt

00:12:16: Egal wie unsinnig die angefragte Webadresse ist.

00:12:19: Die Entwickler von WannaCry wollten an dieser Stelle einfach besonders schlau sein.

00:12:24: sie programmierten den Wurm so dass er eine völlig unsinnige kryptische Adresse anfragt.

00:12:29: Bekommt der darauf eine Antwort, dann weiß er?

00:12:32: Aha!

00:12:33: Ich bin in einer Sendbox – hier beobachten mich gerade Forscher.

00:12:37: Ich schalte mich jetzt lieber ab um mein wahres bösartiges Verhalten zu

00:12:40: verschleiern.".

00:12:41: Ah…

00:12:42: ich verstehe... In dem Hutchins die Domain im realen echten Internet registrierte hatte dafür gesorgt das auf einmal jeder infizierte Rechner weltweit diese Antwort bekam.

00:12:54: Ja, bin er reichbar?

00:12:56: Die Malware dachte dann plötzlich, das gesamte Internet sei eine einzige riesige Sandbox und hat sich überall deaktiviert.

00:13:04: Was für ein unfassbarer Glücksfall!

00:13:07: Und es gibt bei Hutchins ja noch diesen... diesen krassen biografischen Twist, der fast zu verrückt für ein Film ist.

00:13:15: Stell dir vor du rettest das weltweite Gesundheitssystem nur um kurz darauf am Flughafen verhaftet zu werden.

00:13:21: Er wird gefeiert, reist nach Las Vegas zu einer Hackerkonferenz und auf dem Rückweg klickt es dass FBI legt ihm Handschellen an.

00:13:28: Ja, das ist wirklich wie aus einem Thriller.

00:13:31: Die Behörden hatten nämlich herausgefunden Dass der Retter von zwei tausend siebzehn einige Jahre zuvor selbst ziemlich tief in die Cyberkriminalität verstrickt war.

00:13:39: Ach krass Er hatte in seiner Jugend eine Banking-Mailware namens Kronos mitentwickelt und die dann in Untergrundforen verkauft.

00:13:46: Fuh, das ist mal ne komplexe Vorgeschichte!

00:13:48: Oh ja... aber wenn wir auf Warner Cry zurückblicken dürfen wir diesen Kill Switch den er da ausgelöst hat, auf keinen Fall als verlässliche Abwehrstrategie missvorstehen.

00:13:56: Das war einfach reines Glück Weil

00:13:58: er es zufällig gesehen hat.

00:13:59: Genau.

00:13:59: Und die Tatsache, dass der Angriff primär während der europäischen und asiatischen Tageszeit begann, bedeutete halt das dieser Notausschalter Nordamerika gerade noch rechtzeitig schützte bevor dort der Arbeitstag richtig losging.

00:14:13: Ach weil die alle noch schliefen?

00:14:14: Richtig!

00:14:15: Und spätere Version von WannaCry, die dann schon wenige Tage danach im Netz kursierten, die hatten diese Funktion bereits komplett aus dem Code entfernt.

00:14:24: Da hat der Trick da nicht mehr funktioniert...

00:14:26: Okay Also ein globales Desaster gestoppt durch reines Glück und quasi einen Programmierfehler der Hacker.

00:14:33: Das bringt uns unweigerlich zu der Frage nach dem Motiv, wenn man vier Milliarden Dollar wirtschaftlichen Schaden anrichtet da rechnet man doch damit.

00:14:42: dass die Urheber am Ende unfassbar reich geworden sind

00:14:45: sollte man meinen.

00:14:46: Ich meine, die Lösegeldforderung lag bei dreihundert bis sechshundert Dollar pro infiziertem Rechner.

00:14:52: Zahlbar in Bitcoin!

00:14:53: Bei dreihunderttausend Opfern wäre das ein gigatisches Potenzial – aber ähm….

00:14:58: Die Auswertungen der Blockchain zeigen dass nur knapp über dreihundertzahlungen überhaupt eingingen.

00:15:04: Das ist extrem wenig.

00:15:06: Das sind gerade mal rund hundertdreißigtausend Dollar!

00:15:08: Ein Schaden von vier Milliarden Dollar, aber nur hundert dreißig tausend dollar Einnahmen.

00:15:12: Warum bricht da die halbe Welt zusammen?

00:15:14: Aber fast niemand zahlt.

00:15:16: Das offenbart den gravierenden Unterschied zwischen WannaCry und modernen Ransomware-Operationen wie wir sie heute kennen.

00:15:22: Heute agieren Ransomeware Gruppen wirklich wie hochprofessionelle Software as a Service Unternehmen

00:15:27: Mit Kundenservice und so...

00:15:28: Ja, genau.

00:15:29: Die generieren für jedes einzelne Opfer eine individuelle Kryptowährungsadresse die haben eigene Support Sheds und komplett automatisierte Prozesse um nach dem Zahlungseingang sofort den passenden Entschlüsselungs-Key zu liefern.

00:15:43: Die Opfer zahlen heute oft weil sie sich leider darauf verlassen können dass die Entschlüsselung danach technisch auch funktioniert.

00:15:50: Also ein krimineller Dienstleister quasi.

00:15:53: Und bei WannaCry?

00:15:55: WannaCry hingegen war architektonisch gesehen eine absolute Katastrophe.

00:15:59: Weil Sie, wenn ich das richtig gelesen habe nur drei festcodiere Bitcoin-Adressen für alle dreihunderttausend Opfer genutzt haben, richtig?

00:16:07: Ganz genau!

00:16:08: Das heißt, wenn Ich jetzt als Krankenhaus völlig verzweifelt meine Dreihundert-Dollar der Überweise landet das Geld in einem riesigen gemeinsamen Topf.

00:16:16: Die Angreifer konnten doch überhaupt nicht automatisiert zuordnen von welchem Rechner diese spezielle Zahlung gerade kam.

00:16:23: Exakt so ist es.

00:16:24: Die Täter hätten manuell Tausende von E-Mails oder Nachrichten auswerten müssen, um herauszufinden wer da jetzt eigentlich gerade gezahlt hat.

00:16:33: Das ist ja organisatorisch gar nicht machbar?

00:16:37: Nein das funktionierte in der Praxis überhaupt nicht!

00:16:40: Wer zahlte bekam seine Daten so gut wie nie zurück und diese Information die verbreitete sich natürlich rasend schnell in der IT Sicherheitscommunity und über die ganzen Medien

00:16:50: Verstehe.

00:16:51: Die klare Botschaft war also, zahlt auf gar keinen Fall.

00:16:55: Es bringt absolut nichts!

00:16:56: Ihr kriegt eure Daten eh nicht

00:16:57: wieder.".

00:16:58: Genau

00:16:59: und deshalb blieben die massenhaften Zahlungen am Ende einfach aus.

00:17:02: Das wenige Geld das dann doch zusammenkam, dass wuschen die Täter später über Kryptotauschwörsen wie Shapeshift.

00:17:09: Wie funktioniert das?

00:17:10: Sie haben einfach die sehr transparenten Bitcoins in Monero umgewandelt – das ist eine andere Kryptowährung, die die Transaktionen und Spuren extrem stark verschleiert.

00:17:20: Die Kombination aus diesem plumpen Zahlungsmodell und den gestohlenen Militärtools, das führt doch unweigerlich zur Frage wer sowas überhaupt baut.

00:17:31: Ein hochkomplexer Wurm der aber beim simplen Geld einsammeln völlig versagt!

00:17:36: Es gibt dazu ja offizielle Zuweisungen durch Regierungen.

00:17:40: Richtig Wir

00:17:41: müssen an dieser Stelle natürlich betonen, dass wir hier streng neutral einfach die Untersuchungsergebnisse der US- und britischen Behörden wiedergeben.

00:17:49: Aber demnach wurde der Angriff im Dezember ofiziell Nordkorea bzw einer staatlich unterstützten Gruppe namens Lazarus zugeschrieben.

00:17:58: Genau!

00:17:59: Die Sicherheitsbehörden und auch Analysten von großen Cyber-Sicherheitsfirmen stützen diese Zuordnung auf ganz spezifische Fragmente im Quellcode der Mailware.

00:18:07: Was heißt das genau?

00:18:08: Haben sie da so eine Art Unterschrift

00:18:10: hinterlassen?!

00:18:11: bei ganz bestimmten Verschlüsselungsroutinen.

00:18:14: Diese Methoden waren bereits bei früheren Angriffen sehr gut dokumentiert worden, die ebenfalls der Lazarusgruppe zugerechnet wurden.

00:18:24: Richtig!

00:18:25: Der massive Heck von Sony Pictures einige Jahre zuvor... Da gab es starke Parallelen auf der Code-Ebene.

00:18:31: Okay,

00:18:32: also die Waffe wurde abgefeuert aber sie traf eben auch auf unzählige unverschlossene Türen!

00:18:38: Wir haben ja vorhin schon kurz erwähnt dass Microsoft den Patch für diese Schwachstelle dieses Update MS-Cin zero zehn bereits im März veröffentlicht hatte zwei volle Monate vor dem Angriff.

00:18:49: Ja das ist der bitterer Teil der Geschichte.

00:18:51: Wenn man das als Außenstehender so hört denkt man sich unweigerlich...ja gut Selbst schuld, warum spielen die ihre Updates nicht ein?

00:18:58: Mein privater Laptop macht das nachts auch ganz automatisch.

00:19:01: Aber so einfach ist es im echten Leben halt nicht oder gerade in diesen betroffenen Krankenhäusern.

00:19:06: Ganz und gar nicht!

00:19:07: Dieser ständige Vergleich mit dem privaten Laptob am Schreibtisch der greift in der Industrie und ganz besonders im Gesundheitswesen völlig ins Leere.

00:19:16: Ein Krankenhaus ist eine hochkomplexe ununterbrochen laufende Infrastruktur.

00:19:23: Man kann da nicht einfach mal einen zentralen Server, der die digitale Patientenaufnahme oder vielleicht sogar die Medikamentenausgabe steuert für ein Update herunterfahren und fröhlich neu starten.

00:19:33: Jeder Ausfall erfordert massive Planung und Abstimmung!

00:19:37: Und noch dramatischer wird es dann bei den medizinischen Großgeräten.

00:19:40: Du meinst diese riesigen MRT-Scanner?

00:19:42: Oder diese Laborroboter?

00:19:44: Genau die.

00:19:45: Diese Geräte haben oft tief im Inneren noch ein regulaires Windows Betriebssystem integriert – einfach nur um die Benutzeroberfläche zu steuern.

00:19:53: Und die Krankenhaus-IT darf nicht einfach auf den Scanner zugreifen, sich da einloggen und auf Update installieren klicken.

00:20:00: Weil sie sonst riskieren dass das Millionengerät danach einfach nicht mehr richtig budet.

00:20:05: Das ist ein Aspekt ja Aber es geht nicht nur um das rein technische Risiko Dass das Gerät vielleicht hängen bleibt.

00:20:11: Es geht um harte regulatorische Vorgaben.

00:20:14: Medizinprodukte unterliegen extrem strengen Zertifizierungen.

00:20:17: Okay, das heißt da greift dann sofort irgendein Gesetzbürokratiemechanismus?

00:20:22: Richtig!

00:20:23: Wenn die IT-Abteilung von so einem Krankenhaus eigenmächtig das Betriebssystem von einem MRT-Scanner verändert und ein Update ist ja eine Veränderung, dann verliert das Gerät sofort seine medizinische Zulassung.

00:20:34: Oh wow...das

00:20:35: wusste ich gar nicht.

00:20:36: Ja

00:20:37: der Hersteller übernimmt dann kleinerlei Haftung mehr falls während einer Untersuchung plötzlich einen Fehler auftritt.

00:20:43: Die Kliniken sind also buchstäblich gezwungen zu warten bis der Hersteller des Kenners, sei es jetzt Siemens oder Philips oder wer auch immer das Windows Update erstmal in seinen eigenen Laboren testet.

00:20:54: Es offiziell frei gibt und dann oft sogar durch eigene Techniker vor Ort einspielen lässt.

00:21:00: Und das dauert wahrscheinlich ewig?

00:21:03: Das ist ein Prozess, der kann Monate dauern.

00:21:05: Da ist man als Klinik IT völlig machtlos.

00:21:08: Es gab nach dem Angriff ja auch diese sehr dominante Geschichte in den Medien, dass hauptsächlich das uralte Betriebssystem Windows XP an allem Schuld sei.

00:21:17: Der britische Gesundheitsminister musste sich da massiv rechtfertigen, weil das Ministerium schon Jahre zuvor gewarnt hatte, dass XP ein riesiges Sicherheitsrisiko darstellt.

00:21:27: Ja – diese Schlagzeilen kenne ich auch noch gut!

00:21:29: Aber wenn wir heute mal ganz nüchtern in die forensischen Daten schauen war das doch größtenteils ein Mythos oder?

00:21:36: Absolut Die Daten, die später unter anderem von Sicherheitsunternehmen veröffentlicht wurden, zeichnen ein völlig anderes Bild.

00:21:44: Etwa achtundneunzig Prozent der Rechner, die von WannaCry erfolgreich infiziert und auch wirklich verschlüsselt wurden liefen eben nicht auf Windows XP sondern auf dem damals aktuellen und extrem weit verbreiteten Windows Sieben.

00:21:56: Hä?

00:21:57: Aber wie passt das denn zusammen?

00:21:59: Die alten XP-Rechner waren noch viel schlechter geschützt als Windows Siebem.

00:22:03: Das stimmt schon!

00:22:04: Aber die Architektur von Eternal Blue, also diesem Brecheisen der NSA war so spezifisch auf ganz bestimmte Speicherstrukturen zugeschnitten, dass der Exploit auf diesen veralteten XP-Maschinen schlichtweg sehr oft einfach

00:22:17: viel schlug.

00:22:18: Er hat

00:22:20: schon funktioniert.

00:22:22: Aber anstatt die Ransomware ordnungsgemäß in den Speicher zu laden und zu starten, brachte der Angriff die XP-Rechner oft einfach direkt zum Absturz – der klassische blaue Bildschirm.

00:22:31: Ah!

00:22:31: Der Blue Screen of Death?

00:22:33: Genau.

00:22:34: Und ein abgestürzter Rechner kann natürlich keine Dateien verschlüsseln und sich von dort aus auch nicht weiter verbreiten im Netzwerk.

00:22:40: Okay das ist ja absurd…der alte Rechler stürzt ab und rettet sich dadurch quasi selbst.

00:22:45: Ziemlich paradox.

00:22:45: Ja Das Kernproblem war also primär nicht, dass die Krankenhäuser uralte Systeme nutzten.

00:22:51: Das Problem war, dass das ganz normale aktuelle Betriebssystem der breiten Masse nicht zeitnah gepatched wurde – weil eben ein grundlegendes Patchmanagement

00:23:01: fehlte.".

00:23:01: Dieses

00:23:01: ganze Chaos zieht sich ja auch komplett durch die spätere Aufarbeitung.

00:23:06: Dieser Bericht des britischen Parlaments vom National Audit Office hat schonungslos dokumentiert was auf organisatorischer Ebene alles schief lief!

00:23:16: Der Bericht hat wirklich wehgetan beim Lesen.

00:23:19: Da stand einfach schwarz auf Weiß drin, dass Notfallpläne für Cyberangriffe entweder komplett fehlten oder noch schlimmer, noch nie unter realistischen Bedingungen getestet wurden.

00:23:30: Als das IT-Netzwerk dann ausfiel fielen eben auch oft die internen Kommunikationssysteme und die E-Mails aus.

00:23:37: Die Mitarbeiter wussten überhaupt nicht mehr, wie sie sich absprechen sollten.

00:23:41: Am Ende koordinierten Pflegekräfte und Ärzte die Behandlung von Notfallpatienten über ihre privaten Handys und irgendwelche WhatsApp-Gruppen nur um den Betrieb irgendwie am Laufen zu

00:23:52: halten.".

00:23:52: Und genau dieser Befund zeigt drastisch dass Cybersicherheit eben kein rein technisches Thema ist!

00:23:59: Man kann das nicht einfach an die IT Abteilung unten im Keller delegieren – und das war's….

00:24:04: WannaCry hatte einen echten Paradigmenwechsel erzwungen.

00:24:07: Inwiefern?

00:24:08: Es hat bewiesen, eine verwundbare IT bedeutet direkte Gefährdung der Patientensicherheit oder wenn wir in die Industrie schauen den sofortigen totalen Ausfall der Produktion.

00:24:20: Allein dem NHS entstanden durch die IT-Wiederherstellung und die ganzen ausgefallenen Termine kosten in Höhe von schätzungsweise zweiundneunzig Millionen Pfund.

00:24:30: Cyber-Sicherheit ist also ein massives finanzielles und vor allem operatives Unternehmensrisiko.

00:24:36: Das bedeutet, das Thema muss auf der Agenda des Vorstands ganz oben stehen!

00:24:41: Wer heute noch sagt ach darum kümmert sich die IT?

00:24:44: Der hat den Knall von WannaCry wirklich nicht gehört.

00:24:47: Aber was müssen Berater versicherer Dienstleister und vor allem Vorstände heute denn zwingend umsetzen damit sich zwei tausend siebzehn nicht wiederholt Also um Cyberresilienz aufzubauen?

00:24:58: Ein ganz zentrales Element dabei ist die Netzwerksägmentierung.

00:25:02: Was

00:25:02: heißt das anschaulich?

00:25:03: Man darf sich das Unternehmensnetzwerk nicht wie eine einzige, riesige offene Halle vorstellen wo jeder mit jedem reden kann.

00:25:11: Es muss viel mehr als ein Schiff in wasserdichte Schotten unterteilt sein.

00:25:15: Eine normale Büro-PC vorne an der Rezeption der mit dem Internet verbunden ist.

00:25:19: Der darf unter gar keinen Umständen direkt mit einem kritischen Ultraschallgerät kommunizieren können.

00:25:24: Das leuchtet ein.

00:25:26: Wenn in einem Bereich ein Feuer ausbricht oder eben eine Ransomware loslegt, dürfen die Flammen nicht einfach so auf das restliche System überspringen.

00:25:34: Man muss die Zugriffsrechte also massiv einschränken und Barrieren einbauen.

00:25:39: Genau!

00:25:39: Und man muss alte Zöpfe konsequent abschneiden – ein Protokoll wie SMBV-I, dass für die moderne offene vernetzte Welt einfach völlig ungeeignet ist?

00:25:49: Das muss rigoros deaktiviert werden.

00:25:51: Punkt.

00:25:52: Das

00:25:54: bringt uns zum nächsten fundamentalen Punkt, dem sogenannten Asset Management.

00:25:58: Also der Sichtbarkeit im Netzwerk.

00:26:00: Ein Vorstand muss verlangen dass die IT-Abteilung ganz genau weiß wie viele Server im Unternehmen überhaupt laufen wo sie stehen und welche Softwareversionen darauf eigentlich gerade installiert sind.

00:26:11: das klingt nach einer Selbstverständlichkeit

00:26:13: ist es aber leider ganz oft nicht.

00:26:16: eine echte Binsenweisheit der IT Sicherheit lautet man kann nur das schützen was man auch kennt.

00:26:23: Ohne diese Übersicht laufen alle Patch-Bemühungen komplett ins Leere, weil du die Hälfte der Server schlichtweg vergisst.

00:26:30: Und als letzte Versicherung wenn wirklich alles schief geht braucht es regelmäßige offline Backups.

00:26:37: Offline heißt nicht im selben Netzwerk angeschlossen

00:26:40: Richtig!

00:26:41: Physisch vom restlichen Netzwerk getrennt.

00:26:44: Nur so behält man im Ernstfall die Kontrolle über seine eigenen Daten Wenn alles andere versagt.

00:26:50: Es ist am Ende eine Sache der Governance, der klaren Strategie und der Prozesse.

00:26:55: Ohne Budget-und klare Verantwortung bleiben Unternehmen einfach leichte

00:26:58: Beute.".

00:26:59: Das ist ein starkes Fazit!

00:27:01: Wir haben heute gesehen dass WannaCry einen Angriff, der fast die globale Infrastruktur in den Knie gezwungen hätte – am Ende nur durch einen glücklichen Zufall und einen Fehler der Angreifer diesen Kill Switch stoppt werden konnte….

00:27:16: Ein junger Forscher hat da unbeabsichtigt Schlimmeres verhindert.

00:27:21: Aber was passiert eigentlich beim nächsten Mal?

00:27:24: Stell dir mal vor, der nächste Wurm nutzt wieder eine unbekannte Schwachstelle!

00:27:28: Aber dieses Mal agiert er vielleicht durch künstliche Intelligenz komplett fehlerfrei und hat garantiert keinen eingebauten Notausschalter.

00:27:36: Sind unsere Netzwerke heute wirklich so sicher in Quarantäne-Zonen unterteilt dass ein lokaler Brand nicht wieder die ganze Welt

00:27:44: abfackelt?!

00:27:44: Das ist eine Frage, die du am Montag direkt mit ins Büro nehmen solltest.