Der YouTuber Henrik Huth aus Kassel hat den Ransomware-GAU vom Wochenende in einem sehr einprägsamen Vergleich zusammengefasst: "Manchmal fühlt man sich als ITler wie ein Schafhirte. Allerdings sind die Schafe betrunken. Und brennen! Und klicken überall drauf!!!"

Nur hat die WannaCry-Katastrophe verdeutlicht, dass nicht allein die Schafe brennen. Sondern, um im Bild zu bleiben, auch die Schäfer, die Wiesen, die Großgrundbesitzer und die Bürgermeister. Sprich: Anwender, die unbekannte Mail-Anhänge öffnen, Systemadministratoren, die ihre System nicht auf dem neuesten Stand halten, Unternehmensleitungen, die das dafür nötige Geld nicht bereitstellen und Regierungen, die niemanden zur Haftung verpflichten. Bis zum vergangenen Freitag hatten sie sich alle damit arrangiert, nach dem Motto This is fine.

Und jetzt?

Die bisherigen Opfer

In britischen und indonesischen Krankenhäusern müssen Termine von Patienten verschoben werden, an deutschen Bahnhöfen werden die Displays noch mehrere Tage gestört bleiben. Der Autohersteller Renault teilte mit, eine seiner Anlagen im Norden Frankreichs bleibe am Montag geschlossen. In China gibt es der Nachrichtenagentur AP zufolge vor allem an Universitäten und anderen Bildungseinrichtungen größere Probleme.

Aber nur einige Dutzend der rund 200.000 Betroffenen haben bisher das geforderte Lösegeld gezahlt. Das jedenfalls legen die die drei bekannten Bitcoin-Wallets nahe, die den Erpressern gehören. Insgesamt sind dort (Stand Montag, 15 Uhr) knapp 29,5 Bitcoin eingelaufen, umgerechnet rund 47.000 Euro.

Von wem, ist unklar. Bisher hat niemand öffentlich gemacht, dass er bezahlt hat. Weshalb auch nicht klar ist, ob die Zahlung wirklich dazu führt, dass man die Kontrolle über seine Daten zurückbekommt.

Wahrscheinlich bekommt man sie nicht. Mehrere Sicherheitsforscher haben die Ransomware untersucht und herausgefunden, dass erstens jeder einzelne Entschlüsselungsvorgang manuell durch einen der Täter angestoßen werden muss, was angesichts der momentanen Aufmerksamkeit ein hohes Risiko darstellt. Zweitens lässt der schlampige Code Zweifel daran aufkommen, dass die Entschlüsselung überhaupt zuverlässig funktioniert.

Im besten Fall haben die meisten Opfer funktionierende Sicherungskopien ihrer Daten und setzen ihre Systeme gerade neu auf, inklusive der von Microsoft zur Verfügung gestellten Patches.

Viele hoffen vielleicht auch darauf, dass jemand einen Generalschlüssel entdeckt und veröffentlicht, mit dem die verschlüsselten Dateien freigegeben werden.

Die potenziellen Opfer

Die rasante globale Verbreitung, die Produktionsausfälle bei Renault in Frankreich, die Probleme in britischen Krankenhäusern sind allesamt unmissverständliche Warnungen an Unternehmen und Institutionen, nicht weiter auf Windows XP zu setzen, den Jurassic Park unter den Betriebssystemen, oder auf die anderen verwundbaren Windows-Versionen. Einerseits.

Andererseits ändert auch der lauteste Warnschuss nichts daran, wie enorm komplex, zeitaufwändig und teuer es sein kann, ein neues Betriebssystem einzuziehen. Eine texanische IT-Spezialistin zählt auf Twitter zehn mögliche Gründe auf, warum ein Unternehmen nicht mal eben einen solchen Schritt wagt – oft liegt es demnach an gegenseitigen Abhängigkeiten von Programmen, an Lizenzproblemen, an notwendigen, langwierigen Tests oder an mangelndem Fachwissen über so alte Software.

Zwei neue Versionen der Ransomware entdeckt

Und natürlich liegt es am fehlenden Geld. Dem Guardian zufolge hat zum Beispiel das britische Gesundheitsministerium im Jahr 2015 aufgehört, für Microsofts speziellen XP-Support in den nun betroffenen Kliniken zu zahlen.

Deshalb ist kaum anzunehmen, dass die Zahl der aktiven Uralt-Systeme in den kommenden Monaten signifikant sinken wird. Wer als größeres Unternehmen jetzt mit dem Übergang anfängt, kann unter Umständen erst in zwei Jahren Vollzug melden.

Die (nächsten) Täter

Wer auch immer hinter der Attacke vom Freitag steckt, verhält sich still. Kontaktversuche von Sicherheitsforschern blieben bisher unbeantwortet, die Bitcoin-Wallets unangetastet. Experten gehen davon aus, dass die Täter selbst von der Reichweite ihrer Ransomware überrascht worden sind. Nun sind die Strafverfolger überall auf der Welt hinter ihnen her und jede öffentliche Regung wäre gefährlich.

Aber neue Varianten von WannaCry sind bereits im Umlauf. Eine hat der Sicherheitsforscher Matt Suiche gestoppt, indem er den kill switch identifizierte: So wie die erste Version der Ransomware verbreitet sich die Variante so lange wie ein Computerwurm weiter, bis jemand eine bestimmte Internetdomain registriert – was Suiche getan hat.

Eine zweite Variante wurde von der IT-Sicherheitsfirma Kaspersky entdeckt, allerdings nur auf der Virus-Testseite virustotal.com, nicht "in freier Wildbahn". Sie ist auch nicht voll einsatzfähig, die Verschlüsselungsfunktion ist defekt. Dafür hat sie keinen kill switch mehr. Das heißt, die Ausbreitung einer funktionierende Version zu stoppen, wäre sehr viel schwieriger.

Es ist davon auszugehen, dass es nun einen Wettlauf zwischen den Herstellern von Antiviren-Software und möglichen Trittbrettfahrern gibt, die neue, gefährlichere Versionen des Erpressungsprogramms entwickeln.

Die Politik

Als einer der ersten Politiker in Deutschland äußerte sich Alexander Dobrindt (CSU), Bundesminister für Verkehr und digitale Infrastruktur, öffentlich zu dem Vorfall. In der Passauer Neuen Presse forderte er eine Verschärfung des IT-Sicherheitsgesetzes. Laut dem seit 2015 geltenden Gesetz sind Unternehmen, die als kritische Infrastruktur gelten, verpflichtet, "erhebliche Störungen" ihrer Dienste an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Es sei "unerlässlich, das IT-Sicherheitsniveau bei den kritischen Infrastrukturen zu erhöhen. Das betrifft die Energie- und Wasserversorgung genauso wie Verkehrsinfrastruktur oder das Gesundheits- und Finanzwesen."

Allerdings hat der Bundesrat ausgerechnet am vergangenen Freitag den Gesetzentwurf zur Umsetzung der sogenannten NIS-Richtlinie (Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen) der Europäischen Union beschlossen. Das Gesetz kann damit noch in dieser Legislaturperiode in Kraft treten. Inwieweit Dobrindts Forderungen über den Inhalt des Gesetzes hinausgehen, mit dem das nationale IT-Sicherheitsgesetz erweitert wird, hat sein Ministerium auf Anfrage bisher nicht erklärt.

Jan Philipp Albrecht, Europaabgeordneter der Grünen, fordert eine Debatte über neue Haftungsregelungen – nicht für die Hersteller von Soft- und Hardware, sondern für deren Anwender: "Man muss darüber nachdenken, bei grober Fahrlässigkeit die Betreiber in Haftung zu nehmen", sagte er ZEIT ONLINE. Zwar müsse man den Geltungsbereich eingrenzen, nicht jeder Betreiber könne in Haftung genommen werden. Krankenhäuser aber, die ihre Systeme wider besseres Wissen nicht absichern, würde Albrecht nicht davon ausnehmen wollen.

Norbert Pohlmann vom eco – Verband der Internetwirtschaft hält naturgemäß wenig von weitergehender Regulierung für Unternehmen. Er sähe es lieber, wenn die Geheimdienste aufhörten, ihr Wissen um Sicherheitslücken geheim zu halten und für offensive Zwecke zu nutzen: "Solange NSA und BND vorhandene Schwachstellen nicht den Herstellern melden, sondern für das Ausspähen der Bürger nutzen, passieren Cyberattacken, die leicht verhindert werden können."