Zuerst legte der Erpressungs-Trojaner Wannacry Hunderttausende Rechner weltweit lahm, nur wenige Wochen später folgte der Nachfolger Petya. Beide haben eine Gemeinsamkeit, sie entstanden aus gestohlenen NSA-Werkzeugen. Die Bundesregierung beschloss letzte Woche trotzdem, einen eigenen Trojaner zu entwickeln, um Whatsapp-Nachrichten mitzulesen. Wir haben mit Travis Witteveen über die Gefahren gesprochen. Er ist seit 2013 CEO des bekannten deutschen Antiviren-Entwicklers Avira.
Erst Wannacry, dann Petya und nun der Bundestrojaner: Was halten Sie von der Entwicklung der letzten Wochen?
Travis Witteveen: So überrascht hat uns die Entwicklung nicht. Wir haben von den Gefahren gewusst. Nur unsere Bundesregierung hat leider nichts daraus gelernt. Wie die NSA versucht sie nun, einen Trojaner zu entwickeln, den die abgehörte Person nicht entdecken kann. Dazu nutzen sie natürlich System-Schwachstellen, die auch Hacker oder Kriminelle nutzen würden. Und in dem Moment wird die Gefahr noch größer.
Auch ein Bundestrojaner könnte in falsche Hände geraten.
Selbst bei der NSA - die nicht gerade ein kleines Budget für die Geheimhaltung hat - konnten die Werkzeuge nach außen gelangen. Die Folge waren Wannacry und Petya. Und die werden jetzt genau dafür eingesetzt, dass Kriminelle Geld verdienen können. Das ist erschreckend.
Was raten Sie Opfern von Erpressungs-Trojanern?
Meine Empfehlung ist leider - zahlen Sie. Holen Sie sich die Daten zurück und sichern Sie sie. Dann stellen Sie sicher, dass Sie ein vernünftiges Antivirenprogramm nutzen. Da gibt es genügend unabhängige Tests, die Top 3 sind immer gut. Natürlich sollte man schauen, dass die eigenen Programme immer auf dem neuesten Stand sind - und seine Daten regelmäßig sichern.
Das Bundesamts für Sicherheit in der Informationstechnik (BSI) empfiehlt das Gegenteil: Nicht zu zahlen.
Man muss das Geschäftsmodell der Erpresser verstehen: Eine Ransomware kann nur erfolgreich sein, wenn die Nutzer wissen, dass sie ihre Daten auch wiederbekommen, wenn sie bezahlen. Sonst bricht das Geschäftsmodell auseinander. Die Erpresser fordern meist unter 100 Euro. Meine Bilder zurückzubekommen, ist mir das wert. Dann sollte man aber dafür sorgen, dass so etwas nicht noch einmal passieren kann.
Sind die deutschen Geheimdienste in der Lage, ähnlich gefährliche Waffen zu bauen wie die NSA?
Das können viele. Es gibt die bekannten Schwachstellen, die man in einem gewissen Zeitraum immer ausnutzen kann. Und dann gibt es noch die, die noch nicht bekannt sind. Die zu finden oder sie im Darknet zu kaufen, ist ein bisschen teurer. Software ist so komplex geworden, dass mit genügend Geld immer eine Schwachstelle zu finden ist. Im Zweifel kauft man sich einfach eine, man muss sie nicht selbst finden.
Obwohl man damit Kriminelle unterstützt.
Da ist natürlich die Frage: Wo ist die moralische Grenze? Wenn man eine Schwachstelle entdeckt, gibt es eine moralische Pflicht, den Hersteller zu informieren. Entdeckt eine Regierung eine solche Schwachstelle und entscheidet, sie nicht weiterzugeben, ist diese Grenze überschritten. Schließlich weiß man, dass mit dem Schließen der Lücke weitere, bösartige Angriffe verhindert werden könnten.
Verstehen die Verantwortlichen in Innen- und Verteidigungsministerium das nicht - oder ist es eine bewusste Entscheidung?
Manchmal geht es darum, die Stimmungen in der Bevölkerung aufzugreifen, um sich einen politischen Vorteil zu verschaffen. Dann gibt es politische Entscheidungen, die auf tiefen Erkenntnissen beruhen. Ich habe oft den Eindruck, dass diese zweite Variante seltener vorkommt und eher der Außendruck maßgeblich ist. Und die Bekämpfung des Terrorismus ist ja nicht nur hier, sondern auch in den USA eine beliebte Begründung für alle möglichen Entscheidungen.
Für uns ist zumindest das Timing der Entscheidung für den Bundestrojaner verwunderlich, genau zwischen Wannacry und Petya. Hier hätten auch diejenigen, die nicht unseren technischen Kenntnisstand haben, die Gefahren erkennen müssen, die mit einer solchen Technologie verbunden sind. Statt darauf zu verzichten, hat man entschieden, es in anderer Gesetzgebung zu verstecken, die vorher gar nichts mit Überwachung zu tun hatte.
Sie sind Amerikaner. Die Deutschen gelten im Gegensatz zu Ihren Landsleuten als sehr um ihre Privatsphäre bemüht.
Also wenn man sich ihr Verhalten anschaut, kann man das eigentlich nicht bestätigen. Die Deutschen haben sicher durch ihre Vergangenheit gute Gründe, viel Wert auf die Privatsphäre zu legen. Beim Nutzerverhalten merkt man davon aber nichts. Viele haben wohl ein Gefühl der Machtlosigkeit, denken sich, "meine Daten interessieren niemanden". Am Ende werden die Daten aber doch benutzt. Entweder für Angriffe auf Dritte, etwa in einem Botnetz. Oder sie werden eben mit Ransomware erpresst.
Mit den Attacken hat sich das gerade wieder etwas geändert, wir sehen, dass Nutzer unsere Produkte wieder vermehrt installieren. Weltweit, nicht nur in Deutschland.
Gibt es Gefahren, die den meisten Menschen so gar nicht bewusst sind?
Wenn man sich die Vergangenheit anschaut - und auch Wannacry - kommt man schnell darauf, dass die größte Gefahr veraltete Software ist. Bei den meisten erfolgreichen Massenangriffen war die Schwachstelle bekannt, es standen Patches bereit. Aber die Kunden haben sich einfach nicht die Zeit dafür genommen. Beim Haus schaut man, ob die Fenster zu sind. Bei Software machen viele das nicht.
Künstliche Intelligenz ist aktuell die wichtigste Entwicklung bei Software. Kommen bald auch intelligente Trojaner?
Die gibt es schon. Es ist ein Katz-und-Mausspiel. Wie wir Antiviren-Hersteller haben auch die Hacker Testparcours für ihre Software und prüfen, ob die populären Antivirenprogramme sie finden. Wir haben entdeckt, dass bestimmte Schädlinge sich tarnen, wenn sie bemerken, dass man nach ihnen sucht. Das ist auch maschinelles Lernen, also KI.
Petya verschlüsselte Tausende Rechner unwiederbringlich. Viele Experten vermuten: Die Erpressung war nur Ablenkung.
Gott sei Dank arbeiten Malware-Programmierer auch nicht immer fehlerfrei. Ich glaube, dass es sich um einen gescheiterten Versuch handelt, nicht um einen staatlichen Angriff. Die Entwickler haben ein extrem kleines Zeitfenster für den Angriff, sie wollten sehr viele Systeme auf einmal angreifen. Die Chance, dass sie dabei schlicht gescheitert sind, ist hoch. Das ist auch unser Glück, dass die Entwickler dann oft gar nicht den Schaden verursachen können, den sie geplant hatten.
Können Computer jemals wieder sicher sein?
Nein. Die Digitalisierung hat gerade erst angefangen, privat, in der Industrie und bei betrieblichen Prozessen schreitet sie immer weiter voran. Es ist immer mehr Geld zu holen, das lockt Kriminelle an. Die Geheimdienste sind natürlich auch an diesen Daten interessiert. Es wird immer schlimmer werden.
Kleben Sie Ihre Kamera am Laptop ab oder nicht?
Ich bin ein fauler Mensch. Ich nutze die Kamera zu oft für Videokonferenzen. Ich klebe sie nicht ab. Es gibt aber mittlerweile Software, die meine Kamera für mich sichert.
Auch wenn die Gefahren in der digitalen Welt immer größer werden, wiegen die Vorteile das klar auf. Ich bekomme viele Dinge billiger, besser und schneller hin, beruflich wie privat. Mit den Gefahren muss man dann einfach umgehen.
