WannaCry-Angriff: CIO-Verband Voice verlangt mehr Verantwortungsbewusstsein in der Softwareindustrie
Nach der verheerenden WannaCry-Angriffswelle, die seit dem 12. Mai weltweit Hunderttausende Rechner – auch in kritschen Infrastrukturen – lahmgelegt hat, geht es nun an die Aufarbeitung und die Frage, wer das Chaos, das der Erpressungstrojaner angerichtet hat, zu verantworten habe. Die Ransomware machte sich eine Sicherheitslücke in der Dateifreigabe von Windows-Betriebssystemen zunutze, um den Schädling einzuschleusen. Microsoft wies indes jede Schuld von sich. Regierungen auf der ganzen Welt hätten es versäumt, vor der Lücke zu warnen, die auch der US-Geheimdienst NSA für seine Spähaktionen genutzt haben soll. Bereits vor Monaten hätten Hacker das Problem öffentlich gemacht. Außerdem habe Microsoft schon Anfang des Jahres ein Update veröffentlicht, dass die Lücke schließe. Justiziar Brad Smith mahnte mehr Verantwortungsbewusstsein für CyberSicherheit an und forderte von Anwendern, besser auf Updates zu achten.
So einfach will der Anwenderverband Voice den Softwarehersteller aber nicht davonkommen lassen. „In der analogen Welt ist völlig unstrittig, wer die Verantwortung für ein fehlerhaftes Produkt übernehmen muss – der Hersteller“, mahnt Hans-Joachim Popp, Beauftragter für IT-Sicherheit im Voice-Vorstand und CIO der DLR. In der Softwarewelt sei das leider bisher nicht so klar geregelt. Die Anwender fordern, dass Softwareanbie- ter gesetzlich verpflichtet werden müssten, für die bei den Kunden entstehenden Folgeschäden geradezustehen. Nur so könnten die Hersteller motiviert werden, das Entwicklungsprinzip Security-byDesign auch wirklich umzusetzen. „Der lapidare Hinweis darauf, dass es keine fehlerfreie Software gebe, zieht hier nicht“, meint Popp. Den reflexartig von Politikern auf den Tisch gebrachten Forderungen nach verschärften Sicherheitsgesetzen und Meldepflichten erteilt der CIO eine Absage. „Natürlich tragen Unternehmen eine Mitverantwortung für die Sicherheit der von ihnen eingesetzten Software, aber wenn der Gesetzgeber sie nicht vor den Qualitäts- und Sicherheitsmängeln der Anbieter schützt, haben sie keine Chance.“