Digitale Sicherheit betrifft jeden
unsichere Systeme treffen jeden
Ransomware, also Erpressungstrojaner, sind eine zunehmende Gefahr für die gesamte Bevölkerung, da von der sich verbreitenden Malware alle betroffen sind bzw. sein können. Im aktuellen Fall sind es weltweit über 45.000 Betroffene, darunter Krankenhäuser, Unternehmen, Gerichte, Verkehrsbetriebe, Behörden, Energieanbieter, Ärzte, Privatpersonen, NGOs, ...
Wir weisen ausdrücklich darauf hin, dass die Täter keine "Hacker" sind (Die ethischen Grundsätze des Hackens – Motivation und Grenzen), sondern dass es sich um Kriminelle und Erpresser handelt, die den Bereich der Welt, der physisch nur durch Geräte präsent ist (Internet) für ihre kriminellen Handlungen ausnutzen und sich nur unswesentlich von Telefonbetrügern unterscheiden.
Staatliche Spionagesoftware als Sicherheitsrisiko
Es darf nicht übersehen werden, dass Geheimdienste für diese kriminellen Handlungen mitverantwortlich sind oder Vorschub geleistet haben:
Die verwendete Sicherheitslücke des Crypto-Trojaners "WannaCry" war der NSA (und möglicherweise auch anderen Diensten) bekannt:
Ransomware: Alles, was schief gehen konnte 13. Mai 2017, Zeit.de
So war es allem Anschein nach die NSA, die diese Sicherheitslücke entdeckt hat. Entdeckt, aber nicht veröffentlicht, sondern für eigene, offensive Einsatzzwecke geheim gehalten. Dann trat ein erstes worst case scenario ein: Die NSA verlor die Kontrolle über ihre Werkzeuge. Im August 2016 fing jemand (oder eine Gruppe) an, Methoden, Anleitungen und Angriffscode des US-Geheimdienstes im Internet zu veröffentlichen.
Das Geheimhalten von Sicherheitslücken durch die Dienste erfolgt, um mit staatlicher Überwachungssoftware in fremde Rechner eindringen zu können, zum Beispiel dem Bundestrojaner. Dies könnte den österreichischen Behörden ebenso passieren.
Betroffen: jede Person, jede Firma, jedes Gerät
Wir müssen uns von der narzisstischen Vorstellung lösen, dass Kriminelle es alleine auf ausgesuchte Unternehmen abgesehen haben. Vielmehr werden Sicherheitslücken flächendeckend ausgenutzt, ebenso wie das Verhalten, in Unkenntnis Mailanhänge zu öffnen, Office Makros auszuführen oder auf Werbebanner zu klicken.
Seit Jahren sorgt auch der C3W für die Verbreitung von Wissen und Awareness im digitalen Bereich. Es bestätigt sich wieder einmal, wie notwendig und richtig diese Aktivitäten sind.
Aufklärung
Wir empfehlen, auf die jüngsten Ereignisse einzugehen. Es braucht ein Schulungsprogramm für jeden, um auf die Wichtigkeit von Updates, richtiges Verhalten im "Normalbetrieb" sowie auch im Notfall zu lernen. Es muss auf die Gefahren von Werbebannern, unbekannten PDFs, Office-Dokumenten und Mailanhängen aller Art hingewiesen werden. Die Themen liegen bereits lange auf dem Tisch und werden länderübergreifend in sogenannten Cryptoparties für Interessierte aufgearbeitet. Ausführliche und grundsätzliche Auseinandersetzung mit diesen Themen erfolgt auch dieses Jahr erneut bei der "Privacy Week". Mit unserem Projekt "Chaos macht Schule" versuchen wir, Schüler und Lehrer direkt zu erreichen.
Aufklärung ist das Schlüsselwort. Regelmäßige Schulungen (min. alle halbe Jahr) sowohl für Unternehmensvorstände als auch für alle Menschen, die mit Computern arbeiten, ist unserer Ansicht nach ein guter erster Schritt in Richtung Sicherheit und Gefahrenbewusstsein im Internet. So wie man als Kind lernt, eine Fahrbahn erst nach dem Schauen in alle Richtungen zu betreten und keine Schokolade von Fremden zu nehmen, so muss auch richtiges Verhalten im Internet beigebracht werden.