Opfer einer Erpressung zu werden, das kann heute jedem passieren. Es geschieht erschreckend schnell. Man muss gar nicht reich sein, nicht einmal Fehlverhalten ist dafür nötig, keine außereheliche Affäre oder ein Geheimkonto in der Schweiz. Es reichen ein Computer, ausgestattet mit wichtigen Informationen und einem veralteten Windows-Betriebssystem von Microsoft, sowie ein Internetzugang. Dann können Schadprogramme wie „Wannacry“, auch „Wannacrypt“ genannt, schalten und walten, wie sie wollen: Erst legen sie den Computer lahm und verschlüsseln die wertvollen Daten, dann bieten sie in höflich-professionellem Ton Hilfe bei der Wiederherstellung an. Diesen Service gibt es natürlich nicht kostenlos, ein paar hundert Dollar werden fällig, zahlbar mit der Internetwährung Bitcoin.

Seit dem 12. Mai 2017, einem Freitag, ist die Welt um diese Erfahrung reicher. Die Wannacry-Attacke war der größte erpresserische Hackerangriff, den es je gegeben hat. Unternehmen hat es besonders hart getroffen, vor allem unzählige britische Krankenhäuser, hierzulande die Deutsche Bahn – und damit auch alle Reisenden, die versucht haben, an dem Wochenende für ihren gebuchten Zug das richtige Gleis zu finden. Gar nicht so einfach, wenn auf einmal sämtliche Anzeigetafeln ausfallen.

Die Suche nach den Schuldigen ist in vollem Gange. Da sind natürlich die kriminellen Hacker selbst, die die Daten der Kunden als Geisel genommen haben. Ihnen wird man kaum mit einer Standpauke beikommen können, wenn man überhaupt je an sie herankommt. Unklar ist auch, wer hinter dem Angriff steht, vielleicht sogar Nordkorea.

Sicherheitslücken bei Microsoft

Ein ebenso naheliegende Schuldzuweisung richtet sich auf den amerikanischen Softwarekonzern Microsoft, unangefochtener Marktführer auf dem Gebiet der Betriebssysteme. Das Unternehmen hat unzweifelhaft das Einfallstor für die Kriminellen geöffnet. Diese Rolle ist für den Konzern nicht neu. Angefeindet wird er als Monopolist schon lange, auch mit Sicherheitslücken kämpft er nicht erst seit vergangener Woche. Doch diesmal weigerte sich Microsoft, den Sündenbock zu spielen. Statt sich zu verteidigen, blies der Konzern selbst zum Angriff.

Der große Vorteil von Microsoft war, dass das Unternehmen eine staatliche Institution in die illustre Runde der Sündenböcke ziehen konnte: die National Security Agency (NSA). Amerikas größter Auslandsgeheimdienst ist spätestens seit den Enthüllungen des früheren Beraters Edward Snowden im Jahr 2013 weltbekannt. Auch im Fall von „Wannacry“ spielte die NSA eine unrühmliche Rolle. So wie sich die Dinge derzeit darstellen, ist es nur ihr zu verdanken, dass die Sicherheitslücke in der Software von Kriminellen überhaupt genutzt werden konnte: Erst hatten ihre Mitarbeiter Sicherheitslücken ausgeforscht, dann an Softwareprogrammen gebastelt, mit deren Hilfe man durch diese Lücken in fremde Computer eindringen kann – und schließlich hat sich der Geheimdienst dieses Arsenal stehlen lassen.

Geht’s noch stümperhafter?

Dass sich Microsoft eine solche Steilvorlage nicht entgehen lässt, liegt nahe. Das Ganze sei in etwa so, als hätte sich die amerikanische Regierung „Tomahawk“-Raketen klauen lassen, ätzte der Konzern in einer ersten Reaktion. Der Angriff verbinde zwei der größten Risiken für die Internetsicherheit, schrieb der Microsoft-Rechtsvorstand Brad Smith im Firmen-Blog: staatliche Intervention und organisierte Kriminalität. Der Staat im Bett mit Kriminellen, so stellt das Unternehmen die Sache dar. Das Zusammenspiel sei natürlich unbeabsichtigt, räumt Microsoft ein.