Seit Auftauchen der neuen Ransomware WannaCry, auch bekannt als WannaCrypt, WannaCrypt0r oder einfach WCry, steckt unsere vernetzte Welt in einer schweren Krise – wieder einmal. In den vergangenen Monaten haben wir uns bereits an die ständige Bedrohung durch Ransomware-Attacken gewöhnt und einen Weg gefunden, damit umzugehen. Viele Organisationen haben es zum Beispiel geschafft, unter dem Radar von Cyberkriminellen zu fliegen. Andere haben mit Mitarbeiterschulungen zum Thema Ransomware oder mit Next-Generation-Technologien spezielle Vorkehrungen getroffen, um sich zu schützen.
Aber WannaCry ist mit neuen Waffen ausgerüstet. Die potentielle Verbreitung und der zu erwartende Schaden sind viel höher als bei üblicher Ransomware. Es handelt sich um eine Next Generation Malware, die sich automatisch, unsichtbar und ohne menschliches Zutun verbreitet. Hat sie einmal einen Rechner in einem Netzwerk infiziert, zum Beispiel über einen verseuchten E-Mailanhang, verbreitet sie sich schnell auf allen Geräten im Netzwerk, die nicht ausreichend geschützt sind.
Was ist so neu daran? Leider nichts
All das erinnert mich an eine chaotische Erfahrung aus der Vergangenheit. Vor ungefähr zehn Jahren zwang der Wurm Conficker viele Unternehmen und Organisationen dazu, Tätigkeiten in bestimmten Bereichen einzustellen: Computernetzwerke wurden heruntergefahren, Verkaufsstellen wurden geschlossen, Versorgungsketten unterbrochen, selbst Militärflugzeuge mussten am Boden bleiben. Der Wurm verbreitete sich wie ein Lauffeuer und infizierte Millionen Geräte weltweit. Damals war ich im Bereich Cybersecrurity Service und Consulting tätig. Über Wochen hinweg waren wir damit beschäftigt, den Wurm von Kundenrechnern zu entfernen. Der Aufwand war enorm und die Projekte haben viel Energie, Ressourcen und Zeit gefressen – auch in Nächten und an Wochenenden. Am Ende waren wir uns einig, so etwas nicht noch einmal erleben zu wollen. „Nie wieder“ wurde zum Mantra unzähliger Entscheider, die endlich verstanden hatten, wie wichtig Cybersecurity für ihre Geschäftsaktivitäten ist.
Und trotzdem habe ich zehn Jahre später den Eindruck, es habe sich nichts verändert; die Methoden von früher funktionieren immer noch genau so gut wie damals. Conficker und WannaCry nutzen die gleichen Verbreitungswege: Von extern nutzen sie eine kritische Sicherheitslücke in den SMB- und NetBIOS-Diensten von Microsoft aus. In beiden Fällen war ein Patch verfügbar, bevor die Malware-Attacken begannen. Zehn Jahre später richten die gleichen Techniken immer noch verheerende Schäden in Unternehmen an. Ich konnte die Analyse des SAS Internet Storm Centers aus dem Jahre 2008 nicht mehr finden, in der die Nutzung des SMB-Ports (TCP/445) ähnlich wie hier aufgelistet wurde. Aber ich erinnere mich genau daran, dass die Traffic Monitoring Tools den gleichen Anstieg in der Nutzung des SMB-Ports während der Hauptverbreitungszeit von Conficker zeigten.
Lösungen, die den Lauf der Geschichte verändern könnten
Besonders traurig im Fall WannaCry: Man hätte die Situation leicht vermeiden oder zumindest deutlich abschwächen können. Bereits vor zwei Monaten veröffentlichte Microsoft einen Fix für die Sicherheitslücke, über die sich WannaCry verbreitet. Viele Sicherheitsexperten haben öffentlich auf diese Schwachstelle aufmerksam gemacht und dabei auch explizit auf Conficker verwiesen.
Eine Hackergruppe, die als Shadow Brokers bekannt ist, hat einen Monat später sogar Code veröffentlicht, der von der NSA gestohlen wurde und es ermöglicht, diese Schwachstelle auszunutzen. Der bevorstehende Angriff war danach noch offensichtlicher und die Medienaufmerksamkeit erhöhte die Wahrscheinlichkeit einer Attacke noch zusätzlich.
Unternehmen und Organisationen hatten massenhaft Zeit, den Patch von Microsoft zu installieren. Damit wäre WannaCry nur eine weitere „einfache“ Ransomware gewesen, wie sie uns tagtäglich begegnet.
Gleichzeitig bieten verhaltensbasierte Technologien, wie zum Beispiel Stormshield Endpoint Security, einen wirksamen Schutz vor Bedrohungen wie WannaCry. Proaktive, signaturlose Ansätze schützen Systeme auch dann, wenn eine Schwachstelle noch gar nicht bekannt ist und verhindern schädliche Aktionen, wie das unbefugte Verschlüsseln von Dateien.
Umgebungen, in denen Systeme wie zum Beispiel Windows XP oder Windows 2000 zum Einsatz kommen, für die es keine Sicherheitsupdates mehr gibt, lassen sich mit diesen Ansätzen effektiv und verlässlichen schützen. Diese Systeme sind häufig von zentraler Bedeutung und benötigen einen speziellen Schutz.
Wenn wir IT-Sicherheitsprobleme besser verstehen, verhindern wir vielleicht, dass sich die Geschichte endlos wiederholt.