WannaCry ist ein Weckruf für Unternehmen und Regierungen weltweit

Der deutsche Beirat der International Federation for Information Processing (IFIP) in der Gesellschaft für Informatik warnt vor weiteren Angriffen auf Sicherheitslücken, die bei den NSA-Leaks in diesem Frühjahr bekannt wurden

Bonn, (PresseBox) - Der Angriff durch die WannaCry-Ransomware, der schätzungsweise 300.000 Nutzer in 150 Ländern getroffen hat, ist ein Weckruf für Regierungsbehörden und Unternehmen weltweit. Sie geht auf geleakte oder gestohlene Exploits der US-Amerikanischen National Security Agency (NSA) zurück, die sie zu Überwachungszwecken gesammelt hat.

Prof. Dr. Kai Rannenberg, Sprecher des Beirats der International Federation for Information Processing (IFIP) in der Gesellschaft für Informatik e.V. (GI) warnt, dass WannaCry voraussichtlich nur der erste einer Reihe von Cyber-Angriffen ist, die in den kommenden Wochen und Monaten gestartet werden. „Während wir noch nicht genau wissen, wer für die WannaCry-Angriffe verantwortlich ist, wissen wir, dass die Ransomware auf Exploits basiert, die die NSA zur Überwachung von IT-Systemen gesammelt hatte. Dies ist die erste wahrnehmbare Nutzung dieser Exploits durch Kriminelle. Es ist allerdings nur eine Frage der Zeit, bis weitere Angriffe auf die Sicherheitslücken aus dem NSA-Bestand unternommen werden", so Rannenberg.

Die WannaCry-Angriffe waren auch auf ältere Versionen des Windows-Betriebssystems gerichtet, die nicht mehr von Microsoft unterstützt werden. In IT-Umgebungen, wie dem britischen Gesundheitssystem (National Health Service – NHS), die immer noch Windows XP verwenden, sollten die IT-Verantwortlichen unbedingt aktuelle Sicherheitsupdates installieren. Den größten Schaden haben Organisationen mit veralteter Software erlitten, wie der britische NHS, sowie Organisationen in Ländern wie China und Russland, in denen Raubkopien, die keine regelmäßigen Updates erhalten, weit verbreitet sind.

IT-Verantwortliche müssen Schutzmaßnahmen mitkalkulieren

Mike Hinchey, Präsident der IFIP sieht die IT-Verantwortlichen in der Pflicht nun schnell zu handeln und sicherzustellen, dass Systeme in ihrem Bereich auf dem neuesten Stand und vor externen Bedrohungen wie Ransomware oder Spyware geschützt werden.

„In unserer zunehmend vernetzten Welt, in der Informations- und Kommunikationstechnologien alles durchdringen – von Produktions-, Versorgungs- und Logistikunternehmen über Bankensysteme bis hin zu lebensunterstützenden Geräten in Krankenhäusern – haben die Verantwortlichen für die Beschaffung, Implementierung und Instandhaltung von IT-Systemen die Pflicht dafür zu sorgen, dass kritische Infrastrukturen und Daten geschützt sind. Regierungsbehörden und Unternehmen, die Geld sparen wollen, indem sie Software-Upgrades verzögern, müssen die potenziellen Kosten dafür tragen. Der Schaden durch mangelnden Schutz der IT-Systeme gegenüber Cyber-Angriffen ist viel größer, als nur den Zugang zu einigen Informationen zu verlieren", so Hinchey.

Kai Rannenberg ergänzt: „Wie man sieht, setzen kurzsichtige Beschaffungsprozesse und Entscheider, die IKT nur zur Kostenersparnis oder Gewinnsteigerung nutzen, ohne die Kosten für eine adäquate Sicherung zu berücksichtigen, ihre Organisationen extremen Risiken und erheblichen Kosten aus. Im Zeitalter des Internets der Dinge, in dem Geräte vielfach ohne geordnetes Software- und Patchmanagement mit dem Internet verbunden werden, steigen derartige Risiken weiter an.“

„Nutzung von Exploits durch Sicherheitsbehörden ist sehr gefährlich“

Besonders die Bevorratung und die Verwendung der sogenannten Exploits durch Sicherheitsbehörden wie der NSA oder dem Bundesnachrichtendienst (BND) sind kritisch zu bewerten. Kai Rannenberg von der GI: „WannaCry zeigt, dass die Sammlung und Nutzung von Exploits durch Sicherheitsbehörden sehr gefährlich sein kann. Dem Interesse von Sicherheitsbehörden zur Überwachung von IKT-Systemen steht der Schutz von Bevölkerung und Unternehmen vor Cyber-Attacken gegenüber. Behörden sollten deshalb vorhandene Sicherheitslücken den Herstellern und (im Fall der Untätigkeit dort) der Öffentlichkeit melden, anstatt sie zum Ausspähen zu nutzen. So wären diese Cyberattacken zu verhindern gewesen. Der GI-Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit hat die verantwortliche Veröffentlichung von Sicherheitslücken schon seit Jahren gefordert – mindestens seit der Novellierung des BSI-Gesetzes 2009.“

Gesellschaft für Informatik e.V. (GI) Wissenschaftszentrum

Die Gesellschaft für Informatik e.V. (GI) ist mit rund 20.000 persönlichen und 250 korporativen Mitgliedern die größte und wichtigste Fachgesellschaft für Informatik im deutschsprachigen Raum und vertritt seit 1969 die Interessen der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik. Mit 14 Fachbereichen, über 30 aktiven Regionalgruppen und vielen Fachgruppen ist die GI Plattform und Sprachrohr für alle Disziplinen in der Informatik. Weitere Informationen finden Sie unter www.gi.de.

Diese Pressemitteilungen könnten Sie auch interessieren

Weitere Informationen zum Thema "Security":

Authentifizierung für Kunden - schnell, einfach und sicher

Iden­ti­ty and Ac­cess Ma­na­ge­ment-Lö­sun­gen (IAM) sind die Nach­fol­ger des Pass­worts im Di­gi­ta­len Zei­tal­ter. Doch je mehr auch Kun­den­kon­ten ge­schützt wer­den müs­sen, des­to mehr än­dern sich die An­for­de­run­gen an ei­ne gu­te Lö­sung. Denn ge­ra­de ei­ne Cu­sto­mer IAM-Lö­sung muss die Ba­lan­ce zwi­schen Si­cher­heit und Nut­zer­er­fah­rung fin­den.

Weiterlesen

News abonnieren

Mit dem Aboservice der PresseBox, erhalten Sie tagesaktuell und zu einer gewünschten Zeit, relevante Presseinformationen aus Themengebieten, die für Sie interessant sind. Für die Zusendung der gewünschten Pressemeldungen, geben Sie bitte Ihre E-Mail-Adresse ein.

Es ist ein Fehler aufgetreten!

Vielen Dank! Sie erhalten in Kürze eine Bestätigungsemail.


Ich möchte die kostenlose Pressemail abonnieren und habe die Bedingungen hierzu gelesen und akzeptiert.