Baltimore steht still – wegen einer uralten Windows-Sicherheitslücke
Ein Verschlüsselungstrojaner hat die Verwaltung der US-Stadt lahmgelegt. Besonders pikant: Der Angriff wurde erst wegen der NSA überhaupt möglich.
Matthias Schüssler
Seit drei Wochen geht in den Behörden der US-Stadt Baltimore fast gar nichts mehr. Grundstückverkäufe werden nicht abgewickelt, keine Wasserrechnungen verschickt und selbst das Gesundheitswesen funktioniert nur noch eingeschränkt. Grund ist ein Cyberangriff, der am schon am 7. Mai stattgefunden hat. Unbekannte Cyberkriminelle haben um die 10’000 Computer in Ämtern und städtischen Diensten mit «Robin Hood» infiziert. Damit sich die Schadsoftware nicht weiterverbreitet, wurden diverse Systeme heruntergefahren. «Robin Hood» ist ein Verschlüsselungstrojaner, der den Zugang zu den Computern blockiert. Was das Ziel des Angriffs ist, wurde schnell klar: «Wir wollen nicht diskutieren, wir wollen Geld», schrieben sie: Total 13 Bitcoins, was nach dem aktuellen Stand der Cyberwährung etwa gut 114’000 Franken entspricht. Der erst vor kurzem eingesetzte Bürgermeister hat jedoch nicht die Absicht, das Lösegeld zu bezahlen. Denn Zahlungen machen solche Erpressungen nur umso attraktiver. Ausserdem gibt es keine Garantie, dass die Verbrecher ihr Wort halten und die befallenen Computer freigeben. Im Gegenteil: Gemäss «Forbes» erhalten nur etwa 19 Prozent der zahlungsbereiten Opfer ihre Daten zurück.
Die Spionagewerkzeuge der NSA
Was den Fall Baltimore besonders pikant macht, ist die Sicherheitslücke, mit der die Schadsoftware eingeschleust wurde. Gemäss einem Bericht der «New York Times» handelt es sich um «Eternal Blue». Das ist eine Sicherheitslücke in Windows, die es den Angreifern erlaubt, ins System einzudringen und beliebigen Code auszuführen. Die Sicherheitslücke wurde von der NSA entdeckt und während mehr als fünf Jahren für eigene Zwecke genutzt. Doch 2017 kam der NSA dieses Einbruchswerkzeug abhanden: Eine Gruppe anonymer Hacker namens The Shadow Brokers hatte sich Zugang zum US-Auslandsgeheimdienst verschafft und mehrere der erbeuteten Spionageprogramme und Informationen zu Sicherheitslücken wie «Eternal Blue» veröffentlicht.
Seitdem werden die NSA-Programme und die Sicherheitslücken immer wieder für Angriffe wie den auf die Stadt Baltimore genutzt: Auch der Verschlüsselungstrojaner «WannaCry», der im Mai 2017 für riesige Schäden gesorgt hatte, basierte auf «Eternal Blue». Damals waren staatliche Institutionen und Unternehmen in über 90 Ländern betroffen, unter anderem die spanische Telko Telefónica und der US-Logistiker Fedex. Besonders schlimm waren die Folgen für den britischen National Health Service (NHS), wo in manchen Kliniken nur noch Notfälle behandelt werden konnten, weil Patientendaten nicht mehr verfügbar waren. Nur wenig später, im Juni 2017, wurde die Schadsoftware «Petya» für einen Angriff auf die Ukraine verwendet, wo unter anderem die Nationalbank betroffen war.
Die Sicherheitslücke, die die NSA und die Hacker verwendet haben, sind natürlich längst geschlossen: Microsoft hat bereits im April 2017 Updates für die betroffenen Windows-Versionen bereitgestellt. Wie kann es sein, dass Städte und Behörden ihre Systeme auch Jahre später noch nicht ausreichend abgesichert haben?
Uralte Server und verzweigte Netzwerke
«Ars Technica» schreibt, dass die öffentlich zugänglichen Daten von Sicherheits-Scans zeigen würden, dass viele Organisationen nicht viel mehr gemacht hätten, als «ein paar Pflaster über die grossen Sicherheitslücken zu kleben». Auch die Administratoren in Baltimore kämpfen offenbar mit dem Gewirr von Software, den alternden Servern und den verstreuten Netzwerken der Stadt, erklärt «Ars Technica».
Tipps, wie sich Privatanwender schützen.
Und nicht nur das: Auch Hunderte Schulen und viele lokale Behörden hätten ungeschützte Systeme, die anfällig für solche Angriffe sind. Experten des Sicherheitsunternehmens Eset sagen, dass die Lücke weiterhin hunderttausendfach täglich ausgenutzt werde, mit einem starken Anstieg seit März 2019. Mehr als eine Million Computer weltweit seien noch immer ungeschützt und über das Internet zugänglich. Die meisten dieser Maschinen befinden sich in den USA, gefolgt von Japan und Russland.