Nach der Ransomware-Attacke hat der leitende Anwalt von Microsoft die US-Regierung für den Angriff mitverantwortlich gemacht. US-amerikanische Geheimdienste wie CIA und NSA hätten für Hacker nützliche Softwarecodes gehortet, schrieb Brad Smith in einem Blogeintrag des Unternehmens. Er forderte Regierungen auf, entdeckte Sicherheitslücken an Softwareunternehmen zu melden, anstatt sie zu horten, zu verkaufen oder auszunutzen.
Vor dem Angriff war es Hackern gelungen, an das Wissen der NSA über unbekannte, schwere Sicherheitslücken in Windows zu gelangen. Diese Informationen nutzten sie dann offenbar für ihre Attacke. Das Virus WannaCry hatte seit Freitag weltweit Computer lahmgelegt und zahllose Unternehmen und Behörden blockiert. In seinem Blogeintrag verglich Smith den Cyber-Erpressungsangriff mit einem theoretischen Angriff auf das US-Militär. Ein gleichbedeutendes Szenario sei, wenn den Streitkräften einige Tomahawk-Marschflugkörper gestohlen worden wären.
Europol und das britische Zentrum für Cybersicherheit warnten indes, dass die Auswirkungen der vergangenen Ransomware-Attacke noch deutlich größer werden könnten. Das Zentrum NCSC sprach von einer "bedeutenden Dimension". Wenn Menschen in aller Welt am Montag an ihre Arbeitsplätze und Rechner zurückkehrten, könnten weitere infizierte Systeme entdeckt werden, hieß es. Der Angriff wurde als der größte seiner Art angesehen, den es jemals gegeben hat.
Deutsche Politiker fordern nach dem jüngsten Angriff schärfere Gesetze. Bundesverkehrsminister Alexander Dobrindt bezeichnete den Schutz wichtiger Infrastrukturen als "existenzielle Frage". Der CSU-Politiker sagte der Passauer Neue Presse, es müsse das IT-Sicherheitsniveau erhöht werden. "Das betrifft die Energie- und Wasserversorgung genauso wie Verkehrsinfrastruktur oder das Gesundheits- und Finanzwesen." Der IT-Experte der SPD, Lars Klingbeil, sprach von einem "Warnschuss". In der Rheinischen Post plädierte er für eine Ausweitung der Produkthaftung. Damit sollten die Hersteller zu regelmäßigen Updates sowie Produkten mit erhöhter Sicherheit gezwungen werden.
Kommentare
"Der IT-Experte der SPD, Lars Klingbeil, sprach von einem "Warnschuss". In der Rheinischen Post plädierte er für eine Ausweitung der Produkthaftung. Damit sollten die Hersteller zu regelmäßigen Updates sowie Produkten mit erhöhter Sicherheit gezwungen werden. "
Sehr lustig, Microsoft hat doch bereits ein Produkt mit "erhöhter Sicherheit" nachgelegt und zwar vor 9 Jahren, MS hat ausdrücklich gewarnt, XP weiter zu benutzen, der Support war bereits eingestellt. Wenn Leute das weiter benutzen, muss ihnen klar sein, dass das gefährlich ist.
Und was soll die Produkthaftung sein? Grundsätzlich kann niemand für die Vermögensschäden haftbar gemacht werden, die aus einer Erwartungshaltung resultieren, die einfach falsch ist. Wenn ein User dubiose Emailanhänge anklickt oder auf unbekannte Webseiten surft, ist das zuerst einmal sein Fehler, ein Betriebssytem ist nicht dazu da, um jede Dummheit abzufangen. Und die Admins der betroffenen Firmen haben den bereits zur Verfügung stehenden Patch nicht eingespielt, sich also nicht an die Hinweise des Herstellers gehalten.
Ich mag MS nicht besonders, aber indiesem Fall kann man ihnen kaum einen Vorwurf machen.
"Sehr lustig, Microsoft hat doch bereits ein Produkt mit "erhöhter Sicherheit" nachgelegt und zwar vor 9 Jahren, MS hat ausdrücklich gewarnt, XP weiter zu benutzen, der Support war bereits eingestellt. "
IT ist mittlerweile kein Spielzeug für ein paar coole Techis mehr. IT ist ein wesentlicher Teil der Infrastruktur, und damit können die Nerds nicht mehr die Regeln machen. (" Das Geld muss einfach da sein, kann man nur sagen, solange man keine Budget-Verantwortung hat")
Analog dazu ist es nicht ok, 1000ende von Brücken zu bauen und nach 10 Jahren zu warnen, dass sie jetzt nicht mehr sicher sind halt jetzt schnellstens ersetzt werden müssen.
Das mindeste, das wir brauchen, ist eine EU-weite Vorgabe, dass in Behörden und bei kritischer Infrastruktur nur noch Software eingesetzt werden darf, die 25 Jahre lang Sicherheitsupdates bekommt. Das geht, die mit xp betriebenen Geldautomaten bekommen sie noch.
Man darf ja auch ohne Medikamententests keine Medikamente verkaufen. Ebenso müssen für sicherheitskritische IT vorgaben gemacht und eingehalten werden.
Ja, dann dreht sich das Rad in der IT deutlich langsamer, aber das währe eher ein Vorteil.
"While this protected newer Windows systems and computers that had enabled Windows Update to apply this latest update, many computers remained unpatched globally."
Damit ist doch klar, wo die Hauptverantwortung liegt:
bei denen die nicht Updaten und die grob fahrlässig Windows XP weiter einsetzen. Das ist kein Beispiel für ruchloses Verhalten der NSA sondern für hirnloses Verhalten der User.
Also "grob fahrlässig" würde ich den zum Teil notgedrungenen betrieb von XP-Systemen nicht nennen (ich beutreue auf Arbeit PC´s die Messsysteme ansteuern, da gibts viel properitäre Software die nurnoch auf XP läuft).
Was erbärmlich ist, dass z.B. Krankenhäuser keine gestaffelten Backupkonzepte haben. Das Kostet NICHTS im Vergleich zu den laufenden Betriebskosten.
Das ist sehr leichtsinnig.
Aber auch hier sehe ich als schuldigen Primär die Entscheider, Backups geben halt kein gutes ROI aber können einem im Zweifelsfall den Arsch retten. Wir fahren, genau für solche Fälle, nachtliche off-site Backups und das hat auch uns schon mehrfach gerettet.
Auch wenn es immer wieder einen Sturm der Entrüstung von Microsoft Apologeten entfacht:
Linux ist einfach besser geeignet: Heartbleed war auf meinem Debian innerhalb von Stunden gefixt. Bevor! ich die Nachricht in der Presse gesehen hatte.
Da hat mich auch keiner gefragt, ob ich irgendwo einen "Servicevertrag" abgeschlossen hatte.
Das Konzept proprietärer, nicht quelloffener Software ist untauglich für sicherheitskritische Anwendungen. Heerscharen von Drückern wollen uns aber permanent vom Gegenteil überzeugen. Bei den Politikern schaffen sie es leider auch häufig.
Das ist eine gefährliche Diskussion, in dem Moment wo Linux im Mainstream-Markt populärer würde, gäbe es auch dort mehr Angriffe. Und der jetzt eingeschlagene Weg des monolithischen systemd's wird die Sache noch einfacher machen, besonders da deren Prophet Poettering jegliche Kritik an diesem Konstrukt ablehnt und auch nachgewiesene Sicherheitslücke schon in der Diskussion darüber abwürgt, da er und seine Jünger meinen unfehlbar zu sein und wenn jemand davon betroffen ist, man ja selber Schuld ist und dies nur Einzelfälle wären.
Einfach mal einen Blick in die systemd Diskussionforen werfen, dann doch lieber Windows. Benutze im Übrigen selber nur Linux respektive FreeBSD.
Und auch wenn sie Linux betreiben, brauchen Sie einen Servicevertrag nicht umsonst pushed Red Hat das o.g. systemd in den Markt, die wollen daran verdienen und werden tlw sogar von der NSA finanziert, mal drüber nachdenken.
Deutsche Politiker fordern nach dem jüngsten Angriff schärfere Gesetze.
Erstmal laut gelacht. Das ist die passende Maßnahme einiger Politiker, für die das Internet noch Neuland ist.
St. Petersburg:
"Vadim, tu das nicht!"
"Warum?"
"In Deutschland haben sie die Strafen dafür erhöht!"
*beide gröhlen*
Damit sollten die Hersteller zu regelmäßigen Updates sowie Produkten mit erhöhter Sicherheit gezwungen werden.
Das wäre ja prinzipiell ein Schritt, aber die User müssen die Updates auch installieren können/wollen und letztendlich sitzt damit das größte Problem immer noch wo?
MS vorzuwerfen, dass User immer noch XP einsetzen, ist zu einfach und zu kurzsichtig.
Dobrint kann sich ja um die deutsche Implementierung von Produkthaftung für Software, der NIS-Direktive und der General Data Protection Regulation kümmern. Hier kann man viele neue und dringend benötigte Gesetze erfinden, ganz ohne populistische Vorschläge machen zu müssen.