Am vergangenen Wochenende überschlugen sich die Schlagzeilen zu der Erpressungs-Software “WannaCry”, die Rechner rund um den Globus lahmlegte – darunter auch kritische Infrastrukturen.
Die Ransomware nutzte eine schon länger bekannte Sicherheitslücke in Windows aus, die der Betriebssystemhersteller Microsoft bereits im März gestopft hatte. Weil aber viele Rechner noch nicht mit dem entsprechenden Patch aktualisiert waren oder mit einem so alten Windows laufen, dass Microsoft dafür gar keine Korrekturen mehr regulär bereitstellt, verbreitete sich die auch als “WannaCryptor”, “WannaCrypt”, “Wana Decrypt0r” oder “WCry” bezeichnete Malware in Windeseile. Sie forderte dabei prominente Opfer wie das britische Gesundheitswesen NHS, den französischen Autobauer Renault, den spanischen Carrier Telefónica oder die Deutsche Bahn, wenngleich “nur” deren Anzeigetafeln. Viel Geld haben die bislang unbekannten Urheber damit allerdings nicht erpresst.
Note: This bot is watching the 3 wallets hard-coded into #WannaCry ransomware. It tweets new payments as they occur, totals every two hours.
— actual ransom (@actual_ransom) 15. Mai 2017
Die USA und Kanada blieben dank Zeitverschiebung von dem Ausbruch bereits weitgehend verschont: Als dort am vergangenen Freitag die Bürorechner hochgefahren wurden, hatte bereits ein 22-jähriger britischer Sicherheitsforscher mehr oder weniger zufällig einen Abschaltmechanismus für “WannaCry” gefunden und aktiviert – sobald der Schadcode eine bestimmte Webseite konnektiert fand, wähnte er sich in einer Sicherheits-Testumgebung (“Sandbox”) und stellte seine Aktivität ein. Seit Sonntag ist aber auch schon eine neue Variante ohne diesen “Kill Switch” in Umlauf.
“WannaCry” verbreitet sich über Computernetze und nutzt dafür technisch einen Fehler in einer älteren Microsoft-Umsetzung des Protokolls SMB (Server Message Block) für Datei-, Druck- und andere Serverdienste in Rechnernetzen. Das Wissen um den Fehler hatte der größte US-Militärgeheimdienst NSA gebunkert – bis zum Spätsommer 2016, als die Hacker-Gruppe Shadow Brokers dort virtuell einbrach, eine ganze Reihe von Spionage-Tools entwendete und hernach zu Geld machen wollte.
Angriff war nur eine Frage der Zeit
Die Shadow Brokers stellten die NSA-Tools dann nach und nach ins Netz. “Eternalblue”, das als Grundlage für “WannaCry” diente, wurde ausgerechnet am Karfreitag publik. Spätestens ab diesem Zeitpunkt war es eigentlich nur noch eine Frage der Zeit, bis ein entsprechender Angriff erfolgen würde. Auffällig zuvor: Microsoft hatte seine monatliche Patch-Veröffentlichung für den Monat Februar kurzfristig abgeblasen und dann im März ungewöhnlich viele Fehlerkorrekturen veröffentlicht.
Microsoft stuft die SMB-Sicherheitslücke als offensichtlich extrem gravierend ein. Anders ist es nicht zu erklären, dass der Softwarekonzern am Samstag relativ umgehend den ungewöhnlichen Schritt ging, außer der Reihe Patches auch für offiziell nicht mehr unterstützte, aber immer noch verbreitete Windows-Versionen wie XP, Server 2003 oder Windows 8 bereitzustellen.
Am Sonntag legte Microsofts President und Chief Legal Officer Brad Smith dann noch eine für Konzernverhältnisse relativ klar getextete Stellungnahme nach. Deren Grundtenor: Die Geheimdienste dieser Welt sollten bitteschön endlich damit aufhören, noch nicht öffentliche Software-Sicherheitslücken (“Zero-Days”) zu horten, um sie heimlich für Spionage oder irgendwann als Cyber-Waffen einzusetzen.
Ein kleines bisschen schwarzen Peter schob Smith freilich auch Microsoft und seinen Kunden zu. In dieses Horn hatte zuvor bereits Arne Schönbohm geblasen, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). “Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen”, schrieb der in einer Stellungnahme. “Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.”
Patch-Management – ein leidiges Thema
Schönbohm macht es sich aber zu einfach, wenn er nur die Anwender in die Pflicht nimmt. Die sind leidgeprüft und nehmen sich lieber ein bisschen mehr Zeit, um die Patches von ihren Softwareherstellern auf Herz und Nieren zu prüfen, bevor sie sie in ihrer Infrastruktur ausrollen. In der zunehmend digitalisierten Wirtschaft kann sich eine Firma nicht mehr leisten, dass eine interne Anwendung oder ein Geschäftsprozess nicht mehr funktioniert, weil ein Patch unerwünschte “Nebenwirkungen” zeitigt – ein ewiges Dilemma der Enterprise IT.
“WannaCry” macht natürlich trotzdem deutlich, dass man Sicherheitslücken in Software heutzutage zumindest dann schleunigst stopfen sollte, wenn sie bereits angegriffen werden und sogenannter Exploit-Code verfügbar ist. Cyber-Kriminelle brauchen nämlich längst kein Hacker-Spezialwissen mehr, um sich ihre Angriffswerkzeuge zu bauen. Angesichts immer mehr Ransomware kann man auch gar nicht oft genug betonen, wie wichtig regelmäßige und aktuelle Backups sind – nur damit kann man einen böswillig verschlüsselten Rechner im Falle eines Falles ohne größeren Datenverlust neu aufsetzen, ohne Bitcoin-Lösegeld zu berappen.
Insgesamt ist für die IT-Sicherheit ein entscheidender Paradigmenwechsel zu beobachten – war man früher™ primär darauf bedacht, seine Systeme und Netze möglichst abzuschotten und so zu schützen, gilt es mittlerweile, erfolgte Angriffe so früh wie möglich zu entdecken und ihre Auswirkungen einzudämmen (“Detect and Respond”). Ein Beispiel dafür ist die innovative Retarus-Neuentwicklung “Patient Zero Detection®“, die per E-Mail eingegangene Malware noch im Nachhinein ausfindig macht. Mehr über Patient Zero Detection® und die gesamte Retarus E-Mail Security erfahren Sie hier oder direkt bei Ihrem Ansprechpartner vor Ort.