Cyberangriff „Wanna Cry“

Jetzt die IT-Sicherheit optimieren

Helmut Brechtken Helmut Brechtken

„Wanna Cry“ bedeutet frei übersetzt „Es ist zum Heulen“. Und das ist in der Tat eine treffliche Bezeichnung für die jüngste globale Cyberattacke - denn der Name passt doppelt: Zum einen verzweifeln sicherlich viele der geschätzten 200.000 Betroffenen (es sind vermutlich noch deutlich mehr) in 150 Ländern (Quelle: Europol, 15. Mail 2017), die ihre Daten als unwiderruflich verloren hinnehmen müssen. Ebenso dürften sich viele Cyber-Security Experten unter Tränen fragen, warum lange bekannte, öffentliche, einfach zu beseitigende Angriffsflächen heute immer noch derart massenhaft existieren.

Was genau ist passiert?

Am 12. Mai 2017, verbreitete sich rasant und global ein Trojaner vom Typ  „Ransomware“ („Erpresser Malware“), die bei Befall alle von dem Endgerät erreichbaren Dateien verschlüsselte und anschließend ein Lösegeld (rund 300 US-Dollar) in Form von Bitcoins forderte. Betroffen waren ausschließlich Microsoft Windows Systeme mit einer bekannten Schwachstelle, die Mircosoft allerdings schon am 14. März 2017 per Update geschlossen hatte. Es waren also 2 Monate Zeit, diese Schwäche durch die automatischen Updates zu beseitigen (aktualisierte Systeme waren nicht angreifbar, ansonsten wäre vermutlich fast jeder der Milliarden Windows PC weltweit betroffen gewesen und die Schäden noch erheblich weitreichender). Angreifbar waren auch ältere Microsoft Betriebssysteme wie Windows XP, da diese seit dem Jahr 2014 nicht mehr von Mircosoft unterstützt und somit auch nicht mit Sicherheitsaktualisierungen versorgt werden. Mittlerweile hat Microsoft aufgrund des Angriffs umgesteuert und bietet auch für diese älteren Systeme Patches an.

Beispiele betroffener Unternehmen weltweit:

  • Deutschland: Deutsche Bahn – Ausfall der Anzeigetafeln
  • Großbritannien: Krankenhäuser (48, damit rund 20% aller rund 250 Einrichtungen im Gesundheitssystem betroffen)
  • Frankreich: Renault - Produktionsstopp in mehreren Werken
  • Portugal: Portugal Telecom
  • Spanien: Telefonica, BBVA
  • Russland: Innenministerium – rund 1.000 PC befallen
  • USA: Fedex
  • Brasilien: Petrobras,
  • China: rund 20.000 Firmen, etwa Tankstellen
  • Japan: Hitachi, Nissan

 

Warum konnte sich der Angriff so schnell verbreiten?

Dieser Angriff konnte sich so schnell verbreiten, da er den bekannten Angriffsvektor über E-Mails mit schadhaftem Anhang zur Erstinfektion verwendete (wie viele Ransomware-Angriffe auf Firmen, öffentliche Einrichtungen und Krankenhäuser im Jahr 2016) kombiniert mit einer klassischen Wurm-Technik, die selbstständig von einem PC zum nächsten springt und diesen infiziert. Derartige Wurm-Angriffe gibt es schon recht lange (beispielsweise W32.Blaster W32.Lovesan aus dem August 2003), sie haben die Eigenschaft, sich bei einer hohen Zahl von angreifbaren Endgeräten rasant zu verbreiten. Genau das konnte am 12. Mai 2017 beobachtet werden. Bekanntlich konnte sich die Infektion in kurzer Zeit rund um den Erdball ausbreiten.

Warum ist mit weiteren derartigen Angriffen zu rechnen?

Weil Cyberkriminelle über Angriffe dieser Art sehr hohe Summen erzielen können: Wenn man - nur als Abschätzung - die bekannten Zahlen multipliziert (200.000 Betroffene x300 US-Dollar) ergibt sich eine Erpressungssumme von 60 Millionen US-Dollar was mit „klassischer“ Kriminalität gar nicht so einfach zu erzielen ist. Zudem ist die anonyme Abrechnung über Bitcoins komfortabel und kaum nachzuverfolgen.

Was ist die Ursache?

Am 16. Mai 2017 gab es erste Hinweise, die aufgrund des Malware-Codes auf Ähnlichkeiten mit dem Angriff/Datendiebstahl auf Sony Pictures im Jahr 2014 hinweisen. Diese Attacke wurde Nordkorea („Lazarus-Gruppe“, angeblich im Auftrag des nordkoreanischen Regimes) zugeschrieben, wenngleich es bis jetzt keinen validen und endgültigen Beweis dafür gab.

Fazit

Angriffe wie „Wanna Cry“ verdeutlichen eindrucksvoll die aktuellen Risiken durch Cybercrime. Diese Gefahren sind den Verantwortlichen in den Unternehmen sehr wohl bekannt: als Risk Score #1 in Deutschland und #3 weltweit unter allen bekannten Business-Risiken (Quelle: Allianz Risk Barometer 2017) und müssen passend adressiert werden. Mit einem ganzheitlichen Ansatz zur Optimierung der Cybersecurity und geeigneten Maßnahmen sind derartige operativen, ökonomischen und Reputationsschäden für Unternehmen vermeidbar. Dafür muss neben der klassischen IT-Sicherheitstechnik auch die Organisation der IT-Sicherheit, die IT-Sicherheitsprozesse und – gerade nach den Erfahrungen der letzten zwei Jahre – unbedingt auch die Sensibilität der Mitarbeiter gestärkt werden.