Das Drehbuch für diesen denkwürdigen Freitag, an dem innerhalb von Stunden 45.000 Computer in aller Welt lahmgelegt wurden, entstand am 15. April. Es beinhaltet Aussagen wie: "Dies ist ein Ein-Knopf-Hack. Du drückst den Knopf und der Server gehört dir. Alles, was du willst. Es ist superböse. Verrückt böse." Oder auch: "Du hast keine Ahnung, wie schlimm das ist, wenn du nicht in der IT eines Unternehmens arbeitest. Diese Sicherheitslücke wird zehn Jahre lang bestehen, oder länger."

Geschrieben hat das alles die Person, die sich auf Twitter @SwiftOnSecurity nennt. Wer dahinter steckt, ist unbekannt. Aber der einstige Satire-Account mit seiner schrägen Mischung aus Taylor-Swift-Songzeilen und Tipps zur IT- und Informationssicherheit wird in der Fachwelt längst ernst genommen. Denn wer auch immer dahinter steckt, hat offensichtlich eine Menge Ahnung vom Thema.

Den weltweiten Angriff mit der Ransomware WannaCry (auch WannaCrypt, WanaCrypt0r, Wcrypt oder WCRY genannt), die verschiedenste Dateien verschlüsselt und löschen kann, wenn das Opfer kein Lösegeld zahlt, hat SwiftOnSecurity zumindest auf einer Ebene vorhergesehen: Er war offenbar möglich, weil er auf einer schweren Sicherheitslücke in fast allen Windows-Versionen basiert, die nicht von jedem Nutzer geschlossen werden kann.

Ein "worst case scenario" nach dem nächsten

Doch der Hintergrund zu dem so globalen wie katastrophalen Angriff, von dem Firmen, Krankenhäuser, Universitäten und auch die Deutsche Bahn betroffen sind, hat mehrere Ebenen, zusammen ergeben sie den perfekten Sturm.

So war es allem Anschein nach die NSA, die diese Sicherheitslücke entdeckt hat. Entdeckt, aber nicht veröffentlicht, sondern für eigene, offensive Einsatzzwecke geheim gehalten.

Dann trat ein erstes worst case scenario ein: Die NSA verlor die Kontrolle über ihre Werkzeuge. Im August 2016 fing jemand (oder eine Gruppe) an, Methoden, Anleitungen und Angriffscode des US-Geheimdienstes im Internet zu veröffentlichen. Shadow Brokers nannten sich die Täter. Es sah anfangs nach einem extrem aufwendigen Scherz aus, doch die Kostproben wirkten überzeugend. Im April 2017, nach mehreren weiteren Veröffentlichungen, kündigten die Shadow Brokers ihren Rückzug an. Doch ein letztes Paket mit NSA-Tools stellten sie am 14. April noch offen ins Netz – und das hatte es in sich. Belege für Hacks der NSA gegen Banken und das Swift-System waren darunter, aber auch öffentlich unbekannte, schwere Sicherheitslücken in Windows. Und jeder konnte sie sich nun zunutze machen.

Noch am 14. April versuchte Microsoft zu beruhigen: Das Unternehmen habe die Schwachstellen behoben, schrieb es in diesem Blogpost. Und zwar bereits im März, wie aus den Details hervorgeht. Das Unternehmen wusste also davon, bevor die Shadow Brokers damit an die Öffentlichkeit gingen. Was bedeuten könnte, dass die NSA Microsoft gewarnt hat.

Dennoch trat erneut der schlimmstmögliche Fall ein: Die Sicherheitspatches wurden von Microsoft nicht an die große Glocke gehängt und viele Institutionen rund um den Globus brachten ihre Systeme nicht auf den neuesten Stand. Sei es aus Unwissen oder aus Bequemlichkeit. Oder weil sie immer noch das ebenfalls betroffene Windows XP verwenden, dessen Support Microsoft 2014 eingestellt hat – verbunden mit einer Warnung und dem dringenden Rat, ein neueres, sichereres System zu installieren. Wer keinen individuellen, sehr teuren Supportvertrag mit Microsoft hat, kann die Lücke gar nicht mehr schließen.

IT-Sicherheit und Patientensicherheit hängen eng zusammen

Genau das haben sich die Täter nun bei ihrer Ransomware-Kampagne zunutze gemacht. Die Lücke ist das Einfallstor in die veralteten Systeme und sorgt dafür, dass sich die Erpressungssoftware installiert.

Der nächste Bestandteil des perfekten Sturms wird daran erkennbar, dass zu den besonders Betroffenen auch mehrere Krankenhäuser in Großbritannien gehören. Wie Motherboard im vergangenen Jahr herausgefunden hat, ist XP dort noch immer weit verbreitet. Oftmals ohne Supportvertrag.

Ransomware-Angriffe auf Krankenhäuser gab es in der Vergangenheit schon mehrfach, auch in Deutschland. Die Träger müssten also längst gewarnt sein. Trotzdem stehen moderne, vergleichsweise sichere IT-Systeme offensichtlich nicht besonders weit oben auf ihren Prioritäten- und Investitionslisten.

Warum zu einer neuen, teureren Windows-Version wechseln, wenn die alte doch noch läuft, dürften sich viele Verantwortliche sagen – und ihr oft knappes Budget lieber in andere Bereiche stecken, die näher am Patienten sind. Wie eng IT-Sicherheit und Patientensicherheit zusammenhängen, wird nun wahrscheinlich auch der Letzte verstanden haben. Jetzt, da es erst einmal zu spät ist.

Wirklich perfekt – im übertragenen Sinne natürlich – wird dieser Sturm dann, wenn sich herausstellen sollte, dass kaum ein betroffenes Unternehmen, kaum eine Organisation eine aktuelle Sicherungskopie ihrer Daten hat.