Im Jahr 2016 trat eine mysteriöse Gruppe namens „Shadow Brokers“ an die Öffentlichkeit. Sie behauptete, die NSA gehackt zu haben und bot die erbeuteten Daten zum Verkauf an. Das erste Angebot – angeblich für 15.000 Dollar – wurde in der Community als Witz abgetan. Niemand glaubte, dass die Gruppe tatsächlich die NSA gehackt hatte und echte Geheimdaten für einen solch geringen Betrag anbieten würde.
Der Spott endete abrupt, als die Gruppe 2017 einen Teil ihres Arsenals kostenlos veröffentlichte. Darunter: EternalBlue.
EternalBlue war kein gewöhnliches Tool. Es war ein von der NSA entwickelter Exploit, der eine kritische, bis dahin unbekannte Schwachstelle (eine „Zero-Day-Lücke“) im SMB-Protokoll von Microsoft Windows ausnutzte. Wenige Wochen später nutzten Kriminelle genau dieses Tool, um die Ransomware WannaCry zu bauen. Das Ergebnis war eine globale Cyberkrise, die Krankenhäuser, Unternehmen und kritische Infrastrukturen lahmlegte.
Dieser Vorfall ist mehr als nur eine spannende Hacker-Geschichte. Er ist eine der deutlichsten Lektionen über die systemischen Risiken von Closed-Source-Software.
Das Kernproblem: Sicherheit durch Geheimhaltung (Closed-Source)
Was bedeutet „Closed-Source“? Einfach gesagt: Der Quellcode – das „Rezept“ der Software – ist ein Betriebsgeheimnis. Nur der Hersteller (wie Microsoft) kann ihn einsehen und verändern. Die Öffentlichkeit, Forscher und auch die Kunden selbst müssen dem Hersteller blind vertrauen, dass der Code sicher ist.
Der EternalBlue-Exploit (CVE-2017-0144) konnte nur deshalb existieren und über Jahre von der NSA gehortet werden, weil der Quellcode von Microsoft Windows Closed-Source ist.
Bei Closed-Source-Software gilt das Prinzip der „Security through Obscurity“ (Sicherheit durch Dunkelheit):
- Mangelnde Transparenz: Niemand außer Microsoft kann den Code einsehen, prüfen oder auditieren. Die Öffentlichkeit (einschließlich Sicherheitsforschern) muss dem Hersteller blind vertrauen, dass der Code sicher ist.
- Monopolisierte Fehlerbehebung: Nur der Hersteller (Microsoft) kann die Lücke schließen. Findet eine Organisation wie die NSA eine Lücke, meldet sie diese aber nicht, bleibt die Welt verwundbar.
- Gefährliches „Hoarding“: Staatliche Akteure (und Kriminelle) können solche Lücken über Jahre hinweg als „Waffen“ horten und nutzen, ohne dass die Nutzer eine Chance haben, sich zu schützen.
Im Fall von WannaCry war die Welt darauf angewiesen, dass Microsoft einen Patch (MS17-010) entwickelt und dass die Nutzer diesen Patch rechtzeitig einspielen – was Millionen nicht taten.
Das Gedankenexperiment: EternalBlue im Open-Source-Modell
Stellen wir uns nun vor, das SMB-Protokoll oder das Betriebssystem selbst wäre Open-Source gewesen (wie z.B. bei Linux-Implementierungen wie Samba).
Die Open-Source-Philosophie basiert auf Transparenz und dem „Many Eyes Principle“ (auch bekannt als Linus’s Law: „Given enough eyeballs, all bugs are shallow“):
- Transparenz & Auditierbarkeit: Jeder – von einem einzelnen Entwickler über Sicherheitsfirmen bis hin zur NSA selbst – kann den Quellcode einsehen.
- Frühzeitige Entdeckung: Es ist extrem unwahrscheinlich, dass eine so kritische Lücke wie CVE-2017-0144 über Jahre unentdeckt geblieben wäre. Die globale Community von Sicherheitsforschern „jagt“ ständig nach solchen Fehlern.
- Kein „Hoarding“ möglich: Eine Lücke, die im öffentlichen Code sichtbar ist (oder schnell gefunden wird), kann nicht geheim gehalten und als Waffe gehortet werden. Sie wird gemeldet und öffentlich behoben (gepatcht).
- Dezentrale Fehlerbehebung: Selbst wenn der ursprüngliche Entwickler langsam reagiert, kann die Community einen Patch entwickeln und bereitstellen.
Das Argument, dass Angreifer den offenen Code ebenfalls einsehen können, ist zwar korrekt, wird aber durch die Realität widerlegt: Die Anzahl der „Verteidiger“ (White-Hats, Forscher, Entwickler), die den Code prüfen, ist ungleich größer als die der Angreifer. Transparenz zwingt zu besserer Code-Qualität.
Fazit für die IT-Strategie
Der Fall EternalBlue ist das ultimative Argument gegen das blinde Vertrauen in „Security through Obscurity“. Er hat gezeigt, dass das Closed-Source-Modell ein systemisches Risiko darstellt: Wir wissen nicht, welche Zero-Day-Lücken jetzt gerade von Akteuren gehortet werden.
Für Unternehmen bedeutet dies:
- Vertrauen ist gut, Verifizierbarkeit ist besser: Open-Source-Software ist nicht per se „sicherer“, aber ihre Sicherheit ist verifizierbar. Der Code kann unabhängig auditiert werden.
- Reduzierung von Abhängigkeiten: Der Einsatz von Open-Source reduziert die kritische Abhängigkeit von einem einzigen Hersteller, dessen Patch-Zyklen und dessen eigener interner Sicherheit (die bei der NSA offensichtlich versagt hat).
- Digitale Souveränität: Wer auf Open-Source setzt, behält die Kontrolle über seine eigene Infrastruktur.
EternalBlue war ein Weckruf. In einer Zeit, in der Cyber-Bedrohungen zunehmen, ist Transparenz – das Kernprinzip von Open-Source – die robusteste Verteidigungsstrategie, die wir haben.
