19.12.2019

Die Geschichte meines Lebens: Wie ich vor 30 Jahren in die IT-Sicherheitsbranche kam!

Wie ich vor 30 Jahren in die IT-Sicherheitsbranche kam! Ransomware

Vor 30 Jahren arbeitete ich für eine bekannte belgische Versicherungsgesellschaft. An einem Montag erhielt ich eine Diskette, die ich prüfen sollte, ob das enthaltene Programm für das Unternehmen nützlich sein könnte. Das Programm enthielt einen Fragebogen, der feststellen sollte, ob der Befragte der Risikogruppe HIV/AIDS angehören könnte. Also setzte ich die Diskette auf meinem Arbeitsrechner ein. Nach Abschluss des Fragebogens zeigte das Programm einige interessante Statistiken über AIDS auf dem Bildschirm und ich konnte diese sogar auf meinem Matrixdrucker auszudrucken.

Allerdings passierten am folgenden Mittwoch seltsame Dinge, nachdem ich meinen Rechner zweimal hochgefahren hatte. Doch das war erst der Anfang. Ich startete meinen PC und stellte fest, dass er mehr funktionierte. Dafür erschien eine Nachricht auf meinem Bildschirmmit der Aufforderung, Geld an ein Postfach in Panama zu schicken. Diese Meldung wurde auch automatisch auf meinem Matrixdrucker ausgedruckt. Ich habe den PC mehrmals neu gestartet, denn damals wie heute kann ein Neustart Probleme beheben. Dennoch erschien immer wieder die gleiche Meldung. Der Neustart hat also offensichtlich nicht funktioniert. Ich dachte, dass es einen Fehler im Programm geben müsste. Ich entschied mich für einen Start von einer Systemdiskette. Da erkannte ich, dass der Pfad geändert und die Verzeichnisse verschlüsselt wurden. Das Programm änderte Dateien auf der Festplatte meines Rechners, und nach einigen Neustarts schloss die Malware den Computer. Dann erschien eine Nachricht, in der die Zahlung für das "Leasing" der Software gefordert wurde: Man konnte dies sogar in der EULA lesen.

Aber im Ernst, wer liest die EULA's? Abgesehen davon, dass man Dinge durch Neustart repariert, haben Menschen Leute bereits vor etwa 30 Jahren EULA's nicht gelesen. Die gute Nachricht:  Ich konnte das Problem umgehen, nachdem ich analysiert hatte, was passiert war. Es lässt sich alles ziemlich einfach wiederherstellen, wenn  die Verschlüsselungstabellen für Erweiterung und Dateinamen bekannt sind. Und vor allem war die Verschlüsselung ziemlich schlecht. Die Malware verschlüsselte nur die Verzeichnisse und Dateinamen und verwendete auf jedem PC den gleichen Schlüssel. So war es auch für mich als Nicht-Kryptologe recht einfach, die Originaldateien und die Verzeichnisstruktur wiederherzustellen.

IT-Sicherheit wird zur Nachricht

Als ich abends die Schlagzeilen der Fernsehnachrichten sah, wurde mir klar dass ich nicht der Einzige war, der diese Diskette erhalten hatte. Empfänger waren nämlich alles Abonnenten des Magazins PC Business World . Über 10.000 Disketten sind weltweit verteilt worden und mehrere Unternehmen haben viel Geld verloren, da Backups damals mehr oder weniger nicht vorhanden waren – die IT steckte bei vielen Firmen noch in den Kinderschuhen. Außerdem wurde die Diskette auch während der Konferenz der Weltgesundheitsorganisation in diesem Jahr verteilt. Hier wurde sie als AIDS-Informationsdiskette vorgestellt.

Der belgische kommerzielle Fernsehsender VTM hörte von meiner Lösung und interviewte mich am Tag danach. Dies war mein erster Auftritt im Fernsehen vor 30 Jahren ohne Medienerfahrung. Ich erinnere mich noch gut daran. Heutzutage werde ich immer noch wöchentlich von Fernsehsendern und Medien weltweit interviewt.

Die Sache, mit der alles begann

Damals wusste ich noch nicht, dass die AIDS-Diskette die erste Ransomware war. Zumindest wurde sie später von mehreren Experten so genannt. Ich habe auch die Auswirkungen unterschätzt, die dieses Erlebnis auf mein Privatleben und meine spätere Karriere haben würde. Nach diesem Vorfall habe ich mich so sehr damit beschäftigt, mehr über diese faszinierende Sicherheitswelt und Analysen anderer Malware zu erfahren, dass ich den Job wechselte und anfing, für einen IT-Sicherheitsdistributor zu arbeiten. Dieser Vorfall führte mich auch zur ersten EICAR-Verfassungskonferenz im Jahr 1991. EICAR ist eine der ältesten Sicherheitsorganisationen der Welt und bekannt für die Erstellung der EICAR-Testdatei – einem Sicherheitsindustriestandard, mit dem Unternehmen testen können, ob der Sicherheitsschutz eingeschaltet ist. Er ist auch heute noch auf der Website des EICAR zu finden. Ich bin Mitbegründer der EICAR-Organisation und immer noch eines der ältesten Mitglieder im Vorstand.

Diese Diskette hat mich wirklich buchstäblich in die IT-Sicherheitsbranche gebracht. Ich beschloss, die Diskette als Erinnerung und den Grundstein für eine schöne Anekdote zu behalten. Ich habe sie all die Jahre aufbewahrt und gut geschützt. Vor Jahren habe ich sie sogar in meinem Wohnzimmer aufgehängt.

Heute scheint die AIDS-Diskette sicherheitsrelevant zu sein. Joseph Cox, ein Journalist von Vice Motherboard, schrieb 2017 eine schöne Geschichte darüber. Auch auf der Seite von El Confidencial ist die Geschichte auf Spanisch veröffentlicht worden. Inzwischen haben mehrere andere Nachrichtenseiten die ganze Geschichte aufgegriffen. Einige Leute wollten mir die Disketten abkaufen und haben mir über 1000 Euro angeboten.

"Wer hat es erfunden?"

Die Ermittler identifizierten später Dr. Joseph Popp, einen in Harvard ausgebildeten Biologen, als Hintermann der AIDS-Kampagne. Er wurde in Großbritannien verhaftet, aber aufgrund eines psychologischen Gutachtens nicht vor Gericht gestellt, und in die USA zurückgebracht. Leider hat Dr. Popp den Cyberkriminellen viele schlechte Ideen gegeben. Glücklicherweise mussten wir jedoch bis 2005 und 2006 warten, um die nächsten Beispiele oder Ransomware wie GpCode oder Krotten, Reveton (Police Trojan) 2012 und Cryptolocker 2013 zu entdecken, gefolgt von einer ganzen Reihe neuer Ransomware in den letzten Jahren wie etwa Ryuk.


Eddy Willems

Eddy Willems

Security Evangelist


Artikel teilen

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein