Die Medien überschlagen sich derzeit mit immer neuen Meldungen zum Ransomware-Virus "WannaCry", einem sog. Verschlüsselungstrojaner. Das Programm legt derzeit reihenweise Rechner mit Windows-Betriebssystem lahm, indem das Dateisystem verschlüsselt wird und der User aufgefordert wird, eine bestimmte Summe in #Bitcoins zu zahlen, um wieder an seine Daten heran zu kommen. Strafrechtlich fällt mir da direkt eine ganze Reihe prüfenswerter Vorschriften ein, neben Erpressung und Nötigung sicher auch Computersabotage und Datenveränderung.
Interessant ist, daß momentan niemand über die andere Seite spricht. Ehrlich gesagt bin ich nämlich über das Ausmaß des "Erfolges" dieser Schadsoftware relativ überrascht, da diese für einen korrekt installierten, regelmäßig gewarteten und abgesicherten Rechner keinerlei Gefahr darstellen dürfte. Das Virus nutzt eine seit langem bekannte Schwachstelle in Windows ab der uralt-Version XP aus, die seit mindestens einem Monat von Microsoft durch update-Patches geschlossen wurde. Außerdem gehört zur Infektion ein unsachgemäßer Umgang mit eingehenden Daten (eMails, Links in Webseiten...) dazu, wobei man eigentlich professionellen Anbietern wie der Deutschen Bahn oder auch dem britischen Health Service einen etwas fachkundigeren Umgang mit derartigen Risiken zugetraut hätte. Am meisten überrascht mich aber, daß selbst kritische Infrastrukturen offensichtlich auf einem eher unsicheren, auf "Consumer" zugeschnittenen Betriebssystem wie Windows betrieben werden. In meiner Kanzlei bin ich dieses Jahr seit 10 Jahren Windows-frei und nutze für die professionelle Anwendung ausschließlich Linux-Betriebssysteme. Natürlich leiste ich mir nebenher auch noch den ein oder anderen Windows-Rechner, um hier auf dem Laufenden zu bleiben und meine Mandanten aus der Microsoft-Perspektive beraten zu können. Für ernsthafte Arbeiten würde ich diese allerdings nicht verwenden. Insofern bin ich durchaus überrascht, daß selbst Rechner, auf denen hunderttausende Datensätze mit Patientendaten verarbeitet werden, selbst heute noch offensichtlich unter Windows betrieben werden. Der organisatorische Aufwand, ein Windows-basiertes Produktivsystem tatsächlich gegen die überwiegende Mehrzahl von Bedrohungen abzusichern, ist aus meiner Erfahrung um ein vielfaches höher, als dies beispielsweise bei einem Linuxsystem der Fall wäre. Der deutsche Gesetzgeber hat jedenfalls im IT-Sicherheitsgesetz festgelegt, daß Betreiber "kritischer Strukturen" (KRITIS) eine Absicherungspflicht, eine Meldepflicht sowie die Pflicht zur Identifizierung möglicher Risiken trifft. Wenn ich mir die aktuelle Berichterstattung vor Augen halte, scheint es bis dahin noch ein weiter Weg zu sein!
Links:
Heise News
bsi.bund.de
Heute Nachrichten
RP Online
