Original-URL des Artikels: https://www.golem.de/news/it-sicherheit-der-angriff-kommt-auch-ohne-eigene-fehler-1801-131790.html    Veröffentlicht: 02.01.2018 09:06    Kurz-URL: https://glm.io/131790

IT-Sicherheit

Der Angriff kommt - auch ohne eigene Fehler

Das Jahr 2017 brachte vielen Unternehmen Millionenschäden durch Malware ein, ohne dass diese aktiv Fehler gemacht hatten. Wanna Cry, NotPetya und auch der CCleaner-Vorfall zeigen, dass die Frage der eingesetzten Software deutlich wichtiger ist als verwendete Virenscanner oder Firewall-Appliances.

Das Jahr 2017 hat gezeigt, dass Einrichtungen wie Krankenhäuser, Weltkonzerne wie Maersk und auch mittelständische Betriebe mit Malware infiziert werden können, ohne dass vor Ort individuelle Fehler gemacht werden. Denn Kriminelle und offenbar auch Staaten setzen zunehmend darauf, Exploits - bekannt und unbekannt - auszunutzen, um ihre Ziele anzugreifen. Die Lösung klingt einfach, ist aber in der Praxis oft schwer umzusetzen: eine gute Update-Strategie.

Kein Mitarbeiter musste einen Link anklicken, damit Wanna Cry die Anzeigetafeln der Bahn infizieren konnte. Auch für den NotPetya-Angriff, der Fedex rund 300 Millionen US-Dollar kostete, musste niemand auf Phishing hereinfallen oder Makros in einem zwielichtigen Excel-Dokument aktivieren. Die Angriffe wurden durch bekannte Schwachstellen in der Software ausgelöst und verbreiteten sich in wenigen Stunden rund um die Erde.

So konnte die Wanna-Cry-Malware Hunderttausende Rechner befallen, bevor ihre Ausbreitung durch einen glücklichen Zufall zwischenzeitlich ausgebremst wurde. Die Software verschlüsselte die Rechner der Opfer, ohne eine individuelle Möglichkeit zur Wiederherstellung der Dateien anzubieten.

Exploits aus dem Bestand der NSA

Für den Wanna-Cry-Angriff nutzten die - nach Ansicht der US-Behörden und einiger Sicherheitsfirmen nordkoreanischen - Angreifer ausgerechnet Exploits aus dem Bestand der NSA, der nationalen Sicherheitsbehörde der USA. Die von der Sicherheitsfirma Kaspersky Equation Group getaufte Hackergruppe hackt im Auftrag der NSA seit Jahren verschiedene Ziele und verließ sich dabei auf ein stattliches Arsenal verschiedener Exploits in verschiedenen Routern und Firewalls, aber eben auch in populärer Software wie Microsoft Windows.

Für Wanna Cry wurde vor allem ein Exploit mit der internen Bezeichnung Eternalblue verwendet, der eine Schwachstelle in dem veralteten Protokoll Server Message Block in Version 1 nutzt. SMB sollte in dieser Version eigentlich gar nicht mehr genutzt werden - doch viele Unternehmen setzen offenbar weiterhin auf das anfällige Protokoll.

Der Exploit wurde, wie viele andere auch, von der Hackergruppe Shadowbrokers veröffentlicht, die von einigen Seiten dem russischen Geheimdienst zugeschrieben wird. Bewiesen ist der Zusammenhang jedoch nicht.

Die Historie des Wanna-Cry-Angriffs zeigt schon deutlich, dass Nutzer sich ausgerechnet gegen Schwachstellen hätten schützen sollen, die zuvor jahrelang unentdeckt im Besitz der Geheimdienste lagerten. Keine leichte Aufgabe - nicht umsonst wird in den USA und mittlerweile auch in Deutschland darüber diskutiert, wie Geheimdienste und andere staatliche Akteure mit Sicherheitslücken umgehen sollen. Nach der Veröffentlichung der Schwachstellen durch die Shadowbroker veröffentlichte Microsoft zwar einen Patch für alle unterstützten Betriebssysteme, doch dieser wurde in vielen Umgebungen offenbar nicht richtig eingespielt.

Hier zeigt sich ein weiteres grundsätzliches Problem: Patchen ist nicht so einfach, wie viele Privatanwender sich das vorstellen. Schon auf Heimcomputern kann es vorkommen, dass ein größeres Update die Nutzung wichtiger Programme unmöglich macht, oder gar eine neues Betriebssystemrelease wie MacOS-High-Sierra voller peinlicher Fehler steckt.

Im Unternehmenskontext ist das Problem noch viel größer, gerade wenn nicht nur Desktop-Rechner für alltägliche Arbeiten wie Textverarbeitung und E-Mail betroffen sind, sondern komplexe Produktionsstraßen mit Scada-Anbindung für Roboter und andere Werkzeuge. Denn oft müssen die Unternehmen dann auf eine Update-Freigabe aller Zulieferer warten, bevor die rettende neue Software eingespielt werden kann. Andernfalls riskieren sie Produktionsausfälle oder sogar den Verlust der Gewährleistung.

Bis ein Update eingespielt werden kann, können verwundbare Systeme also nur abgeschottet werden - entweder physisch, oder durch eine Firewall oder durch Yara-Regeln, die Malware-Angriffe selbständig erkennen und blockieren können. Auch zahlreiche Antivirenlösungen hätten vor einer Infektion mit Wanna Cry geschützt.

Update-Mechanismen können selbst zum Problem werden

Der zweite große Angriff des Jahres zeigt, dass auch Update-Mechanismen selbst zum Problem werden können. Die Buchhaltungssoftware Medoc, die vor allem in der Ukraine genutzt wird, ist auf fast allen Rechnern von Unternehmen vorhanden, die in irgendeiner Weise mit der Regierung der Ukraine verbunden sind. Über diesen Kanal lief der ursprüngliche Angriff von NotPetya. Die Malware verbreitete sich dann im internen Netz auch mit den bereits bekannten SMB-Exploits weiter.

Gerade für Unternehmen ist das fatal, denn gegen Schwachstellen in von einer Regierung vorgeschriebenen Software können sie sich nur schwer schützen. Und weil gerade die zentralen Bereiche wie Buchhaltung und Unternehmensführung Zugriff auf sehr viele Informationen aus dem Unternehmen benötigen, ist es schwer, eine wirksame Kompartimentierung des Netzwerkes durchzuführen.

Die Sicherheitsfirma Kaspersky erwartet für 2018 mehr solcher sogenannter Supply-Chain-Angriffe. Diese versuchen keinen Frontalangriff auf die Sicherheitsmechanismen eines Opfers, sondern nutzen Schwachstellen in bekanntermaßen verwundbarer Software. Als Beispiel zitiert Kaspersky NotPetya, aber auch die mit dem Optimierungsprogramm CCleaner in diesem Jahr ausgelieferte Malware. Diese hatte für die meisten infizierten Nutzer kaum Folgen, aktivierte aber bei bestimmten IT-Unternehmen eine zweite und sogar eine dritte Stufe der Malware. Die Malware war offenbar für die Industriespionage gedacht.

Welche Software und welche Berechtigungen sind notwendig?

Unternehmen bleibt also nur, eine genaue Analyse der verwendeten Software durchzuführen: Welche Software wird für welchen Zweck benötigt? Welche Gefahren gehen damit einher? Falls etwa wenige Mitarbeiter für bestimmte Zwecke wirklich Adobes Flash benutzen müssen, dann sollte der Einsatz also wirklich auf diese wenigen Rechner beschränkt werden, verbunden mit einer effektiven Update-Strategie. Denn zumindest im Jahr 2016 war Flash nach Zahlen von Kaspersky immer noch für rund vier Prozent der erfolgreichen Angriffe mit Exploits verantwortlich. Ebenfalls fast vier Prozent entfallen auf Java, weitere sechs Prozent auf Office-Anwendungen.

Antivirenlösungen können Teil einer solchen Strategie sein. Wichtiger aber ist für Unternehmen eine sorgfältige Analyse der eigenen Infrastruktur und ein Sicherheitskonzept, das wichtige Daten nur nach dem Need-to-Know-Prinzip freigibt - und nicht alle Firmeninterna auf ungeschützten Netzlaufwerken liegenlässt, wie es bei Sony der Fall war.

2017 hat außerdem gezeigt, dass fehlende Investitionen im Bereich IT-Sicherheit für Unternehmen mittlerweile richtig teuer werden. Ab Mai 2018 drohen allerdings nicht nur Verluste wegen Produktionsausfall oder durch Trojaner abgezweigte Gelder, sondern auch drastische Strafen im Rahmen der neuen Datenschutzverordnung. Das gilt vor allem, wenn Unternehmen Nutzerdaten nicht ausreichend vor Angriffen schützen.

Welche Sicherheitsmechanismen dabei genau beachtet werden müssen, um einer Haftung oder einer Strafe zu entgehen, wird erst die Praxis zeigen. Doch alle Unternehmen, bei denen Security noch nicht im Top-Management als Priorität angekommen ist, werden noch mehr Gründe haben, diese fahrlässige Haltung zu überdenken. Denn weil die Angreifer aufgerüstet haben und nicht mehr nur aus dem kleinkriminellen Milieu kommen, gibt es vor allem einen wirklich entscheidenden Fehler: sich mit dem Thema IT-Sicherheit nicht grundsätzlich auseinanderzusetzen.  (hg)


Verwandte Artikel:
Fluggastdaten: Regierung dementiert Hackerangriff auf deutsches PNR-System   
(10.03.2018, https://glm.io/133261 )
Ransomware: US-Regierung beschuldigt Nordkorea für Wanna Cry   
(19.12.2017, https://glm.io/131753 )
Not Petya: Maersk erneuerte IT-Infrastruktur in zehn Tagen   
(26.01.2018, https://glm.io/132407 )
Incident Response: Social Engineering funktioniert als Angriffsvektor weiterhin   
(25.02.2018, https://glm.io/132972 )
Playstation: Firmware-Update bringt Supersampling und Elternkontrolle   
(08.03.2018, https://glm.io/133232 )

© 1997–2019 Golem.de, https://www.golem.de/