Lahmgelegte Anzeigetafeln und Fahrkartenautomaten der Deutschen Bahn, Einschränkungen im Betrieb von Krankenhäusern in Großbritannien, geschlossene Tankstellen in China, geschlossene Werke von Renault in Frankreich und viele weitere beeinträchtigte Unternehmen waren die Auswirkungen der sog. WannaCry-Ransomware, die sich im Mai weltweit verbreitet hat und auch als sog. Lösegeldsoftware bekannt wurde.

Dieser Artikel ist erstmalig erschienen in:

Was verbirgt sich hinter dem Begriff Lösegeldsoftware und wie funktionierte WannaCry technisch?

Bei einer Lösegeldsoftware (engl. Ransomware), die aktuell auch als „WannaCry“ bezeichnet wird, handelt es sich um eine Weiterentwicklung, die Daten auf einem befallenen IT-System verschlüsselt und damit die Nutzung dieser Daten durch den Eigentümer verhindert. Die Autoren der „Ransomware“ versprechen ihren Opfern in der Regel, die Entschlüsselung der Daten nach erfolgter Zahlung einer entsprechenden Summe zu ermöglichen. Der „Erpressungserfolg“ von WannaCry und die große Zahl von betroffenen IT-Systemen begründet sich insbesondere darin, dass die Erpresser sich nicht mehr darauf beschränkt haben, einen einzelnen PC anzugreifen und zu verschlüsseln, sondern ihre Schadsoftware auf eine automatisierte Verbreitung im Netzwerk ausgerichtet  haben, so dass sie sämtliche erreichbare IT-Systeme befällt.

Technisch nutzte WannaCry eine Sicherheitslücke des SMB-Protokolls (Netzwerkfreigabeprotokoll) im Windows- Betriebssystem aus, die im April 2017 öffentlich gemacht wurde. Pikanterweise handelt es sich dabei um eine Sicherheitslücke, die der amerikanische Geheimdienst NSA mutmaßlich bereits seit fünf Jahren für seine Zwecke nutzt. Für die bekannt gewordene Sicherheitslücke bietet Microsoft bereits seit März 2017 eine Aktualisierung (Patch) an, die sie schließt. Jedoch wurden die betroffenen IT-Systeme offensichtlich nicht zeitnah mit dem Patch aktualisiert. Aktuelle Untersuchungen deuten zudem darauf hin, dass die initiale Infektion mit WannaCry nicht auf Basis einer präparierten E-Mail erfolgte, sondern ausschließlich die beschriebene Sicherheitslücke des SMB-Protokolls ausgenutzt wurde. Dies zeugt, sollte sich der Verbreitungsweg bestätigen, von grundsätzlichen Versäumnissen bei der Absicherung der Netzwerke der betroffenen Unternehmen durch die zuständigen Verantwortlichen.

Was kann ich gegen Lösegeldsoftware in meinem Unternehmen tun?

Basierend auf den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sollten die folgenden grundlegenden Präventionsmaßnahmen zum Schutz vor Schadsoftware in IT-Systemen implementiert werden:

  • Patching: Ein zeitnahes Einspielen von Sicherheitspatches sämtlicher verwendeter Software ist unerlässlich.
  • Einschränken der Angriffsfläche: Nicht benötigte Software oder Software, für die keine Sicherheitsaktualisierungen angeboten werden, ist zu deinstallieren, die Ausführung aktiver Inhalte im Webbrowser und aus E-Mails sollte, wenn möglich, unterbunden werden, Makros sollten deaktiviert oder nur signiert zugelassen werden.
  • Spamschutz: Da die meiste Schadsoftware per E-Mail verbreitet wird, ist ein guter Spamschutz Basis für die Abwehr von Schadsoftware.
  • Segmentierung von Netzwerken: Netzwerke sollten nach Funktionen voneinander getrennt werden, also bspw. das Produktionsnetz vom Verwaltungsnetz.
  • Absicherung nach außen: Alle Zugänge zum Internet müssen durch Firewalls abgesichert sein. Aus dem Internet verfügbare Dienste (wie im vorliegenden Fall das SMB-Protokoll) dürfen nicht im eigentlichen Unternehmensnetz liegen.
  • Virenschutz: Auf jedem Arbeitsplatz und Server muss ein aktueller Virenschutz betrieben werden.
  • Datensicherung: Ein vollständiger Schutz vor Schadsoftware wird einem Unternehmen nicht möglich sein. Daher ist der Datenverlust durch Schadsoftware analog zu einem Hardwareausfall ein Szenario, das die Notfallplanung berücksichtigen muss.
  • Awareness: Gut geschulte Administratoren und risikobewusste Mitarbeiter sind die beste Verteidigung gegen Angriffe auf die IT des Unternehmens. Wenn die Mitarbeiter auf ggf. verdächtige Links in E-Mails nicht klicken sind die technischen Schutzverfahren gar nicht erst gefordert.

Fazit

Eine existierende, der Öffentlichkeit unbekannte Sicherheitslücke ist für Geheimdienste sicherlich ein hilfreiches Werkzeug. Es ist jedoch nur eine Frage der Zeit, bis eine solche Sicherheitslücke auch von Kriminellen entdeckt und ausgenutzt wird. Die Autoren von Schadsoftware werden aus WannaCry lernen. Es ist zu erwarten, dass die Ausnutzung von bekannt gewordenen Sicherheitslücken zukünftig noch schneller gehen wird. Die Autoren von Ransomware werden die Verbreitung im Unternehmensnetzwerk in ihr Repertoire aufnehmen und sich nicht mehr darauf konzentrieren, nur einen einzelnen PC anzugreifen. Zudem ist zu erwarten, dass Backups zukünftig von Schadsoftware angegriffen werden, um so den Druck auf die Unternehmen zu erhöhen. Weiterhin ist der Einbau von zeitlichen Komponenten in der Schadsoftware zu erwarten. Wenn eine Schadsoftware erst einmal ein bis zwei Wochen Zeit zur Verbreitung hat und die Datenverschlüsselung erst dann startet, dürfte der Schaden und die Bereitschaft, das Lösegeld zu zahlen ungleich größer sein. Die vom BSI empfohlenen und hier grob beschriebenen Maßnahmen lassen sich je nach Unternehmensanforderungen noch deutlich ausweiten. Die beschriebenen Maßnahmen sind ohnehin, unabhängig von der derzeit akuten Bedrohung durch Ransomware, grundlegend für die IT-Sicherheit im Unternehmen. Für eine ganzheitliche und adäquate IT-Sicherheitsorganisation sollte ein unternehmensindividuelles IT-Sicherheitskonzept mit enthaltener Risikoanalyse erarbeitet werden, auf dessen Basis die technischen und organisatorischen Maßnahmen sowie die Erfordernisse an Mitarbeiteraus- und Fortbildung festgelegt werden können.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: