Der Vorfall
Am 12. Mai 2017 begann einer der verheerendsten Cyberangriffe der Geschichte. Innerhalb von nur 24 Stunden infizierte die Ransomware WannaCry mehr als 230.000 Computer in über 150 Ländern. Der Schaden ging in die Milliarden.
Am härtesten traf es den britischen National Health Service (NHS). 80 von 236 NHS-Trusts waren betroffen. Krankenhäuser mussten Operationen absagen, Notaufnahmen schlossen, Krankenwagen wurden umgeleitet. Ärzte konnten nicht mehr auf Patientenakten zugreifen. Auf den Bildschirmen prangte eine rote Nachricht: 300 US-Dollar in Bitcoin – oder die Daten bleiben verschlüsselt.
Doch nicht nur Krankenhäuser waren betroffen. Der spanische Telekommunikationsriese Telefónica musste Mitarbeiter nach Hause schicken. Die Deutsche Bahn zeigte auf ihren Anzeigetafeln statt Zugverbindungen die Erpressernachricht. Renault stoppte die Produktion in mehreren Werken. FedEx, Nissan, Hitachi – die Liste der Opfer liest sich wie ein Who's Who der Weltwirtschaft.
Die Gesamtschäden wurden auf 4 bis 8 Milliarden US-Dollar geschätzt. Und das alles wegen einer Windows-Sicherheitslücke, für die Microsoft bereits zwei Monate zuvor einen Patch veröffentlicht hatte.
Wie der Angriff funktionierte
WannaCry nutzte eine Schwachstelle im Windows-SMB-Protokoll (Server Message Block), die unter dem Namen EternalBlue bekannt wurde. Diese Schwachstelle war ursprünglich von der US-amerikanischen NSA entdeckt und als Cyberwaffe geheim gehalten worden. Im April 2017 veröffentlichte die Hackergruppe Shadow Brokers den Exploit – und machte ihn damit für jeden Kriminellen zugänglich.
Der Angriff lief in mehreren Stufen ab:
Stufe 1 – Initiale Infektion: WannaCry suchte automatisch nach Computern mit offenem SMB-Port (Port 445) im Netzwerk und im Internet. Fand der Wurm einen ungepatchten Windows-Rechner, nutzte er EternalBlue aus, um ohne jegliche Benutzerinteraktion Code auf dem Zielsystem auszuführen. Kein Klick, kein E-Mail-Anhang nötig – allein die Netzwerkverbindung reichte.
Stufe 2 – Payload-Installation: Nach dem erfolgreichen Eindringen installierte WannaCry den eigentlichen Schadcode. Dieser bestand aus mehreren Komponenten: einem Verschlüsselungsmodul, das Dateien mit AES-128 und RSA-2048 verschlüsselte, einem Kommunikationsmodul für die Verbindung zu den Command-and-Control-Servern und dem Erpresserfenster, das die Bitcoin-Adresse anzeigte.
Stufe 3 – Laterale Ausbreitung: Gleichzeitig begann der Wurm, sich im lokalen Netzwerk weiterzuverbreiten. Jeder infizierte Rechner scannte automatisch nach weiteren verwundbaren Systemen. So konnte sich WannaCry innerhalb von Minuten durch ein gesamtes Unternehmensnetzwerk fressen – ohne dass ein einziger Mitarbeiter etwas anklicken musste.
Stufe 4 – Verschlüsselung: Dokumente, Bilder, Datenbanken – alles wurde verschlüsselt. Die Originaldateien wurden überschrieben, die Schattenkopien gelöscht. Eine Wiederherstellung ohne Backup war praktisch unmöglich.
Warum Virenscanner versagten
WannaCry offenbarte die fundamentale Schwäche signaturbasierter Virenscanner. Am Tag des Angriffs erkannte kein einziger der gängigen Virenscanner die Ransomware zuverlässig. Der Grund ist einfach: WannaCry war neu. Es existierten keine Signaturen.
Zwar hatten einige Sicherheitslösungen heuristische Erkennungsmethoden, die verdächtiges Verhalten identifizieren sollten. Doch WannaCry nutzte einen Exploit auf Kernel-Ebene – EternalBlue operierte unterhalb der Schicht, auf der die meisten Virenscanner arbeiten. Bis der Scanner überhaupt Alarm schlagen konnte, hatte sich der Schadcode bereits mit Systemrechten eingenistet.
Besonders perfide: WannaCry enthielt einen sogenannten Kill-Switch – eine Abfrage an eine nicht registrierte Domain. Erst als der britische Sicherheitsforscher Marcus Hutchins diese Domain zufällig registrierte, stoppte die Ausbreitung teilweise. Doch für hunderttausende Rechner war es da bereits zu spät.
Die Virenscanner-Hersteller lieferten innerhalb von Stunden Updates. Aber genau hier liegt das Problem: In den entscheidenden ersten Stunden eines neuen Angriffs bist Du mit einem Virenscanner ungeschützt. Er kann nur erkennen, was er bereits kennt.
So hätte Deep Freeze geschützt
Stell Dir vor, die Computer des NHS wären mit Deep Freeze geschützt gewesen. Was wäre passiert?
Szenario mit Deep Freeze: WannaCry dringt über EternalBlue in einen Rechner ein. Der Exploit funktioniert, der Schadcode wird installiert, die Verschlüsselung beginnt. Soweit identisch. Doch dann kommt der entscheidende Unterschied.
Am Ende des Arbeitstages – oder bei der nächsten geplanten Wartung – wird der Computer neu gestartet. Deep Freeze setzt die Systempartition auf den eingefrorenen Zustand zurück. Jede einzelne Änderung wird rückgängig gemacht. Der Schadcode? Gelöscht. Die verschlüsselten Dateien? Zurück im Originalzustand. Die Hintertüren? Verschwunden.
Deep Freeze muss WannaCry nicht erkennen. Es muss den EternalBlue-Exploit nicht verstehen. Es muss keine Signatur haben. Es macht einfach alles rückgängig, was seit dem letzten Einfrieren passiert ist – ob Virus, Ransomware oder jede andere unerwünschte Änderung.
In einer Umgebung wie dem NHS, wo Computer regelmäßig neu gestartet werden (Schichtwechsel, Nachtruhe), hätte Deep Freeze den Angriff auf ein minimales Zeitfenster begrenzt. Statt wochenlanger Ausfälle wäre nach dem nächsten Neustart alles wieder normal gewesen.
Und die laterale Ausbreitung? Jeder Rechner mit Deep Freeze wäre nach dem Neustart wieder sauber gewesen – und hätte damit als Ausgangspunkt für weitere Infektionen nicht mehr zur Verfügung gestanden. Die Kettenreaktion wäre unterbrochen worden.
Natürlich: Benutzerdaten, die auf nicht eingefrorenen Partitionen oder Netzlaufwerken liegen, brauchen zusätzlichen Schutz durch Backups. Aber das Betriebssystem, die installierte Software, die Systemkonfiguration – all das wäre nach einem Neustart unversehrt geblieben.
Die Lehre
- Virenscanner haben ein Zeitproblem. Neue Bedrohungen werden erst erkannt, wenn der Hersteller eine Signatur erstellt hat. In den ersten Stunden bist Du schutzlos.
- Patches allein reichen nicht. Microsoft hatte den Patch zwei Monate vor WannaCry veröffentlicht. Trotzdem waren hunderttausende Rechner nicht gepatcht. In großen Organisationen dauert das Einspielen von Updates Wochen oder Monate.
- Mehrstufige Angriffe sind der Standard. WannaCry nutzte erst einen Exploit (EternalBlue), dann installierte es den eigentlichen Schadcode, dann verbreitete es sich weiter. Jede dieser Stufen hinterlässt Spuren auf der Systempartition – und genau diese Spuren löscht Deep Freeze beim Neustart.
- Deep Freeze braucht keine Updates. Während Virenscanner ständig aktualisiert werden müssen, funktioniert Deep Freeze nach dem immer gleichen Prinzip: Neustart = sauberer Zustand. Das funktioniert gegen WannaCry genauso wie gegen jeden zukünftigen Angriff.
- Kritische Infrastruktur braucht einen Plan B. Der NHS hatte keinen. Mit Deep Freeze hätte ein simpler Neustart gereicht, um den Betrieb wiederherzustellen – statt wochenlanger Notfallmaßnahmen.