"Man ist auf Indizienketten angewiesen"
16. Mai 2017
DW: IT-Sicherheitsunternehmen haben im Schadprogramm "WannaCry" Ähnlichkeiten mit Hackercodes gefunden, die der nordkoreanischen Gruppe Lazarus zugeschrieben werden. Die soll für den Cyberangriff auf Sony im Jahr 2014 verantwortlich gewesen sein. Wie aussagekräftig sind solche Parallelen?
Lutz Prechelt: Wenn man in einer Schadsoftware verschiedene Komponenten findet, die einem bekannt vorkommen, aber die Gesamtsoftware neu ist, dann spricht einiges dafür, dass es vielleicht wirklich die gleichen Urheber sind. Die andere Möglichkeit ist, dass die Software insgesamt einer früheren sehr ähnlich ist. Das hinzubekommen, ist einfacher: ; Man muss die Software nur einfangen und ein paar kleine Änderungen vornehmen. Das kann man auch ohne den Quellcode zu besitzen. Und an den Maschinencode kommt jeder heran, auf dessen Rechner diese Software mal eingefallen ist.
Also sind solche Analysen nicht besonders verlässlich?
Der große Unterschied zur klassischen Kriegsführung oder zum klassischen Terrorismus ist: Man kann die Leute in der Regel nicht beim Handgelenk packen und verhören, um herauszukriegen, wo sie wirklich herkommen, sondern man ist eben auf diese Indizienketten angewiesen - und das ist natürlich viel wackeliger. Man muss sich klarmachen, und das werden wir meiner Ansicht nach demnächst verstärkt sehen, dass die Beteiligten versuchen werden, gezielt andere anzuschwärzen. Das heißt, sie legen falsche Indizien in die Software, damit man falsche Schlüsse zieht.
Angeblich haben einige Unternehmen den von den Hackern geforderten Geldbetrag bezahlt. Kann man nachvollziehen, wo dieses Geld hingeflossen ist und den Tätern so auf die Spur kommen?
Ja, es handelt sich um Bitcoins. Die sind einem bestimmten Konto zugeordnet und die entsprechende Nummer kann jeder einsehen. Jeder Zahlungsvorgang ist transparent, jeder Nutzer kann sehen, wie viel Geld sich in dem Konto sammelt. Allerdings weiß niemand, wem das Konto gehört. Daraus lassen sich allenfalls Rückschlüsse ziehen, wenn derjenige anfängt, das Geld auszugeben. Das lässt sich dann eventuell nachverfolgen.
Man weiß also nicht, wer hinter der Attacke steckt. Nun fragen sich Unternehmen und Privatpersonen natürlich, wie sie sich in Zukunft am besten schützen können.
Wichtig ist zunächst ein gutes Backup. Wenn Sie alle Ihre Daten irgendwo anders gespeichert haben, können Sie alles auf dem Rechner löschen und noch mal von vorne anfangen. Das ist die sauberste Lösung. Natürlich ist damit ein wenig Arbeit verbunden und gerade für Unternehmen stellt das ein logistisches Problem dar, weil es viel Zeit in Anspruch nimmt. Aber es funktioniert.
Auf staatlicher Ebene wäre es sinnvoller, in Systeme zu investieren, die sicherer sind als die aktuellen. Die kann man bauen lassen, das technische Know-How ist vorhanden. Das kostet sicher Zeit und Geld, aber es ist machbar. Und es ist schade, dass in dieser Hinsicht so wenig getan wird.
Derzeit sieht es ja so aus, als würde um das Thema Malware herum eine regelrechte Erpressungsindustrie entstehen…
Die Professionalisierung in diesem Bereich beobachten wir schon seit vielen Jahren. Die Betrugs-E-Mails etwa, die es schon seit den 90er Jahren gibt, werden jedes Jahr professioneller. Das gleiche gilt für Angriffe mit Schadprogrammen. Da arbeiten viele zusammen, die sich auf unterschiedliche Aspekte spezialisiert haben. Das Ganze ist zunehmend besser organisiert.
Lutz Prechelt ist Professor für Informatik an der Freien Universität Berlin und forscht unter anderem zu Computersicherheit.
Das Gespräch führten Terry Martin und Helena Kaschel.