en
de
IT-Security

Ransomware WannaCry: Wie Zühlke helfen kann

Kurz vor dem Wochenende knallt es, und zwar so laut, dass es weltweit zu hören ist: Am Freitag, 12. Mai 2017 werden die Anwendungen und Daten Hunderttausender Computer auf der ganzen Welt mit einem Erpressungstrojaner, sogenannter Ransomware oder auch “Kryptotrojaner”, ausser Gefecht gesetzt. Die Inhalte der betroffenen Computer werden kryptographisch verschlüsselt; wer seine Files wieder entsperren will, muss ein Lösegeld in Bitcoin überweisen – ob die Angreifer dann Wort halten und die Daten wieder freigeben, steht auf einem anderen Blatt.

Wer ist betroffen?

Betroffen vom Trojaner WannaCry sind kritische Infrastrukturen wie die der Deutschen Bahn oder zahlreiche Computersysteme des britischen Gesundheitsdienstes NHS­, worunter vor allem Krebs- und Herzpatienten zu leiden hatten – zum Teil mit tödlichen Folgen. Bei Autoherstellern wie Nissan und Renault kam es zur Stilllegung der Produktionsanlagen. In Spanien und Portugal sind die Netzbetreiber Telefonica und Telcom, in den USA das Logistikunternehmen FedEx betroffen. Ausserdem dürften sich nicht wenige Privatpersonen WannaCry eingefangen haben. Die Liste ist lang. Was all die Betroffenen gemeinsam haben? Sie verwenden veraltete Microsoft-Betriebssysteme wie XP, Vista, Server 2008, Windows 7, Windows 8.x. Apples Betriebssystem OS X ist nicht betroffen.

Wie kommt es zu solch flächendeckenden Angriffen?

Zwei grundlegende Schritte muss ein Angreifer vornehmen, um einen Schaden solchen Ausmasses auszulösen: Zunächst werden einzelne Rechner mittels Phishing-Mail infiziert. Hierbei ist die Schwachstelle Mensch essentiell. Eine bösartige Software wird auf den eigenen Rechner geladen und nistet sich tief im System ein. Meist unbemerkt. Im zweiten Schritt kommt es zur Ausbreitung der Schadsoftware. Dazu werden sogenannte Zero-Day-Exploits ausgenutzt, in diesem Fall, um möglichst viele Rechner im gleichen Netzwerk zu infizieren. Erhalten externe Partner Zugriff auf gemeinsam genutzte Netzlaufwerke, so verbreitet sich der Erpressungstrojaner auch ausserhalb des eigenen Unternehmens.

Da es fast unmöglich ist, komplett fehlerfreie Software zu entwickeln und da manche Software bewusst Hintertüren verbaut hat, kommen immer wieder Zero-Day-Exploits zum Vorschein. Der Handel damit floriert: Auf dem Schwarzmarkt sind solche Sicherheitslücken schnell einmal Hunderttausende Dollarwert. Kein Wunder also, dass diese Lücken oft geheim gehalten werden und erst spät an die Öffentlichkeit gelangen.

Im vorliegenden Fall war die ausgenutzte Lücke schon länger bekannt: Microsoft hatte bereits am 14. März 2017 die notwendigen Patches, also die Software-Updates zur Korrektur der Lücke, bereitgestellt.

Warum wurden die Lücken nicht geflickt?

Software-Updates, insbesondere jene mit Sicherheits-Patches, sollten grundsätzlich so schnell wie möglich installiert werden. Es gibt im Wesentlichen drei Gründe, warum Updates trotzdem nicht immer zeitnah eingespielt werden und warum veraltete Software zum Einsatz kommt:

  1. Zum einen liegt es schlicht an mangelnder Sorgfalt von IT-Abteilungen und Privatanwendern. Ein Update aufzuspielen, kostet Zeit, unterbricht den Workflow, erfordert Neustarts, und bringt das Risiko, dass eingesetzte Software nach dem Update nicht mehr funktioniert wie zuvor.
  2. Ein zweiter Grund ist, dass viele Geräte, gerade im Bereich des Internet of Things, nicht mit den erforderlichen Features ausgestattet sind, um Softwareupdates einzuspielen. Oft werden die Software-lastigen Geräte mit dem Versprechen einer mehrjährigen Lebensdauer auf den Markt gebracht, aber bei der Wartbarkeit wird kurzfristig gedacht: Es wird vernachlässigt, dass Software bedeutend schneller altert als Hardware.
  3. Der dritte Grund ist, dass in vernetzen Computersystemen grundsätzlich viele Abhängigkeiten untereinander bestehen. Kauft ein internationaler Konzern eine aufwendige Software zur Steuerung von Displays oder zur Lohnabwicklung, dauert es mehrere Jahre, bis sich die Investition amortisiert hat. Während dieser Zeit kann es vorkommen, dass das zugrundeliegende Betriebssystem (beispielsweise Windows XP) nicht upgedated werden kann, weil die Anwendungssoftware eben nur mit Windows XP kompatibel ist. Nun hat Microsoft den Support für Windows XP leider 2014 eingestellt, obwohl das Betriebssystem noch auf Millionen von Rechnern im Einsatz ist. Auch längst bekannte Sicherheitslücken werden nicht mehr gestopft. Vielleicht niemals. Im vorliegenden Fall wurde nun ausnahmsweise ein Update von Seiten Microsoft nachgeschoben.

Wie kann man sich schützen? Wie kann die Zühlke helfen?

Die einfachste Regel hier lautet: In jedem Fall Software-Updates aufspielen und die System aktuell halten. So aktuell wie eben möglich. Dies gilt auch für nicht-sicherheitskritische Systeme. Sollte ein veraltetes Produkt im Einsatz sein, dass nicht auf moderne Betriebssystem portiert werden kann, so ist die Zühlke ein verlässlicher Partner für die Migration auf eine zeitgemässe Plattform. Zühlke hat beispielsweise Alstom dabei unterstützt, alten Fortran-Code auf gegenwartstaugliches Java zu übersetzen.

Bei Zühlke achten wir grundsätzlich auf zukunftstaugliche Softwarelösungen: Wir bieten Support für die Wartung der von uns entwickelten Produkte und haben Trends im Desginprozess fest im Blick und berücksichtigen sie bei der Entwicklung. Grundsätzlich gilt: Wer Software einkauft, sollte darauf achten, dass der Anbieter im Kaufvertrag Support für künftige Plattformen einschliesst – sonst entsteht schnell einmal ein Lock-in, der den Kunden teuer zu stehen kommen kann.

Darüber hinaus ist es wichtig, regelmässige Backups von allen relevanten Daten anzulegen. Werden die Daten im laufenden System von böser Hand verschlüsselt, braucht niemand auch nur darüber nachzudenken, ein Lösegeld an den Erpresser zu zahlen, um irgendetwas zu entschlüsseln. Die Daten liegen – unverschlüsselt – im Backup und müssen nur zurückgespielt werden.

Ein weiterer wichtiger Punkt ist die Schulung aller Mitarbeiter im Unternehmen. Bereits wenn ein einzelner Mitarbeiter auf eine Phishing-Mail mit Schadsoftware falsch reagiert, gerät die Schadsoftware auf die Server im Haus und kann sich ausbreiten. Auch hier leistet die Zühlke Aufklärungsarbeit durch Schulungen und Workshops zu den Themen Social Security und Web Security.

Wer trägt denn nun überhaupt Schuld an der Misere?

Nach dem grossflächigen Angriff vom Wochenende macht sich Katerstimmung breit. Es stellt sich die Frage, wer die Schuld trägt daran, dass Menschenleben auf dem Spiel stehen, Produktionsanlagen ausfallen oder der Zugverkehr gestört wird? Die Antwort ist nicht mit dem Fingerzeig auf eine Partei auszumachen. Hier sitzen mehrere Parteien in einem Boot. Zunächst sind es sicher die Angreifer, die Sicherheitslücken ausnutzen und damit finanzielle Absichten verfolgen. Weiterhin sind es die IT-Center und Privatpersonen, die keine Updates durchführen oder Systeme ungewartet im offenen Internet laufen lassen. Ausserdem sind die Software-Hersteller in der Pflicht, regelmässig Updates bereitzustellen und ihre Software so gut wie möglich den gängigen Praktiken zur sicheren Software-Entwicklung anzupassen. Schliesslich bleiben die Geheimdienste, die behaupten, nur mittels Geheimhaltung von Zero-Day-Exploits eine Möglichkeit zu haben, Systeme zu überwachen und Verbrechen aufzuklären. Ob dies für Sabotage-Trojaner gleichermassen gilt, wie für die Ausspähung von kriminellen Aktivitäten, sei dahingestellt.

Im Grunde sind Sicherheitslücken heute nichts anderes als traditionelle (militärische) Waffen. Die Verantwortung zu deren Schutz liegt beim Militär oder dem anderen Eigentümer. Er muss dafür sorgen, dass sie nicht von Unbefugten benutzt werden. Gleiches gilt für Sicherheitslücken. Wer sie kennt, ist verantwortlich und muss Sorge tragen, dass sie geflickt werden oder mindestens nicht in die falschen Hände gelangen. Wobei Geheimdienste mit letzterem offensichtlich ihre Probleme haben.

 

Sicher mit Zühlke – IT-Security kompakt erklärt: In unserer neuen Blog-Serie geht Raphael Reischuk, Senior Security Consultant, aktuellen IT-Sicherheitsentwicklungen auf den Grund.

 

Senior Information Security Consultant

Raphael Reischuk

Erfahrener Wissenschaftler und Consultant im Bereich Information-Security, IoT-Security, Cyber-Security, Web-Security und Network-Security.

Comments (0)

×

Updates

Schreiben Sie sich jetzt ein für unsere zwei-wöchentlichen Updates per E-Mail.

This field is required
This field is required
This field is required

I'm interested in:

Select at least one category
You were signed up successfully.