Wie immer, wenn etwas grandios schief gegangen ist, sucht man auch nach den ersten Angriffswellen des WannaCry-Trojaners nach den Verantwortlichen. Einerseits im Wortsinne: Wer steckt hinter der mysteriösen Gruppe Shadow Brokers, die an zwei hochentwickelte Hackertools aus Beständen des US-Geheimdienstes NSA gekommen sind und diese im April veröffentlicht haben? Und wer hat sich die Tools zunutze gemacht und WannaCry unkontrolliert auf die Menschheit losgelassen, um mit der Entschlüsselung der als Geiseln genommenen Daten Geld zu machen?
Andererseits geht es um die Verantwortlichkeit der üblichen Verdächtigen. Zu denen gehört seit vielen Jahren, seit den allerersten Virenangriffen auf Windows-Computer, der Microsoft-Konzern - seit nicht ganz so vielen Jahren aber zu Unrecht. Die Zeiten, zu denen Microsoft Benutzerfreundlichkeit über Sicherheit gestellt hat, sind längst vorbei; das Unternehmen gibt seit Jahren in kurzen Abständen Sicherheitsupdates für seine Windowssysteme heraus. Die Sicherheitslücke, die WannaCry ausnutzt, hat Microsoft schon im März geschlossen - einen Monat vor der Veröffentlichung der Hackertools.
Administratoren in der Klemme
Genau da liegt das Problem: Patches und Updates machen Rechner, ob am Schreibtisch, in der Laptoptasche oder im Serverraum, sicherer. Aber sie machen sie auch komplizierter; speziell Software, die für einen spezifischen Anwender oder Zweck geschrieben wurde, reagiert oft empfindlich auf Updates im Betriebssystem. Deshalb müssen gerade Großkonzerne ihre Systeme intensiv testen, bevor sie ein Sicherheitsupdate oder gar ein ganz neues Betriebssystem installieren. Und so gehören auch die Administratoren der Deutschen Bahn, des Autobauers Renault und des britischen National Health Service zu den Verantwortlichen - weil es Teil ihres Jobs ist, Patches eben nicht sofort auszuliefern.
In der Wahrnehmung der Öffentlichkeit spielt aber nicht die Software eine Rolle, die in den Bahnhöfen die Abfahrtszeiten der Deutschen Bahn anzeigt, nicht die, mit der Renault seine Autos baut, und auch nicht die, die in britischen Krankenhäusern dafür sorgt, dass Patienten bekommen, was sie brauchen. In der Wahrnehmung der Öffentlichkeit bleiben stattdessen die Markennamen "Microsoft" und "Windows" hängen.
Das freut den Softwarekonzern nur mäßig - verständlich. Deshalb hat Brad Smith, Microsoft-Präsident und Chef der Rechtsabteilung, zu deutlichen Worten gegriffen und die Geheimdienste verantwortlich gemacht. Schließlich war es die NSA, die die Sicherheitslücke für ihre Zwecke genutzt hat - ohne Microsoft oder sonst jemand Bescheid zu geben. Und schließlich waren es die Superspione der NSA, die sich dieses Wissen und zwei damit entwickelte Spionagewerkzeuge haben klauen lassen. Smith vergleicht das mit dem Diebstahl von Marschflugkörpern aus einem schlecht bewachten Armeedepot - eine gruselige Vorstellung.
Nationale Sicherheit und individuelle Unsicherheit
Wir, die Mitglieder der Informationsgesellschaft, haben gelernt, mit einer gewissen Unsicherheit zu leben. Software ist Menschenwerk und damit fehleranfällig. Relative Sicherheit - die einzige, die wir erwarten können - ist nur zu erreichen, indem die Beteiligten aus ihren Fehlern lernen; dazu müssen sie die Fehler auch kennen. Ein Fehler, der aus Gründen der nationalen Sicherheit geheimgehalten wird, erhöht die individuelle Unsicherheit - die der Patienten in einem britischen Krankenhaus beispielsweise.
Der deutsche Infrastrukturminister Alexander Dobrindt hat das erkannt und will die Veröffentlichung erkannter Sicherheitslücken verbindlich vorschreiben. Auf internationaler Ebene fordert Microsoft-Boss Smith schon länger das gleiche - und nennt es eine "Digitale Genfer Konvention". Das Geschäft der Spione erleichtert das nicht, aber das Leben aller anderen.
Immerhin: Auch der eifrigste Sicherheitspolitiker wird es sich künftig zwei- bis dreimal überlegen, bevor er wieder fordert, für staatliche Stellen wie Verfassungsschutz oder Bundesnachrichtendienst Hintertüren in Verschlüsselungsprogramme zu fordern. Denn die Voraussetzung dafür, dass Verschlüsselung nach dem Einbau einer Hintertür überhaupt noch benutzt wird, ist, dass die Besitzer des Schlüssels zur Hintertür sehr, sehr gut auf diesen Schlüssel aufpassen. Dass sogar die nahezu allmächtige NSA in dieser Hinsicht versagt hat, lässt nichts gutes ahnen für Schlüssel und andere Tools in den Händen von Behörden, die - verglichen mit der NSA - allenfalls in der Regionalliga spielen.
Sie können unterhalb dieses Artikels einen Kommentar abgeben. Wir freuen uns auf Ihre Meinungsäußerung!