Frankfurt (ots) - Die gute Nachricht zuerst: Die Schadsoftware Wanna Cry, die über das Wochenende mehr als 200.000 Rechner in mehr als 150 Ländern befallen hat und unter anderem die Ticketautomaten der Deutschen Bahn, eine Fabrik von Renault, Krankenhäuser in Großbritannien sowie Zapfsäulen und Geldautomaten in China lahmlegte, hat am Montag keine großen neuen Schäden verursacht. Sicherheitsexperten hatten gewarnt, dass die Malware sich weiter verbreiten und tiefer in befallene Systeme eindringen könnte, wenn zum Start der Arbeitswoche Tausende von infizierten Rechnern hochgefahren werden.



Das Szenario eines Cyber-GAUs mit großflächigen Auswirkungen auf die zivile Infrastruktur ist vorläufig wieder vom Tisch. Wanna Cry stellt nach einhelliger Meinung der Experten zwar den größten Angriff in den vergangenen zehn Jahren dar und ist einmal mehr ein "Weckruf", IT-Gefahren ernst zu nehmen. Die unmittelbaren Auswirkungen blieben zunächst allerdings relativ überschaubar, auch weil es - eher zufällig - gelang, einen Ausschaltknopf für die Malware zu finden.



Grund zum Feiern ist das nicht. Wanna Cry hat ein weiteres Mal den Nachweis für die Verwundbarkeit moderner IT-Infrastruktur erbracht. Zum Heulen ist auch, dass sich der Angriff auf eine Waffe der US-Geheimdienste für den Cyberkrieg stützte, deren Werkzeuge im April von Hackern öffentlich zur Schau gestellt wurden. Die jetzt von Wanna Cry genutzte Schwachstelle in Software von Microsoft war IT-Experten spätestens ab diesem Zeitpunkt bekannt. Der US-Softwarekonzern, dem hinter vorgehaltener Hand gerne unterstellt wird, "Lücken" als Hintertüren für US-Dienste offen zu lassen, stellte die nötigen Upgrades zur Verfügung, um die Schwachstelle zu schließen. Doch die Adaption verlief schleppend, auch wegen der Zeit und der Kosten, die etwa mit der Umstellung eines Röntgengerätes auf neue Software verbunden sind.



Die Betreiber von ziviler Infrastruktur sind oft überfordert, die rasch wachsenden Cyberrisiken einzudämmen. Der erneute Weckruf wird daran nichts ändern. Die meisten IT-Verantwortlichen in Unternehmen und Organisationen machen ohnehin schon lange kein Auge mehr zu, wenn sie an das Gefahrenpotenzial denken. Den Wecker nicht gehört haben die staatlichen Akteure, die sich bisher weder darauf einigen können, ihr Waffenarsenal für den Cybererstschlag gegen zivile Infrastrukturen zu begrenzen, noch sicherstellen, dass die Bauanleitungen für ihre Cyberbomben nicht in den Händen von Kriminellen landen.



