You can more - Fotolia

Microsoft: WannaCry ist ein Weckruf für alle

Die weltweite Ransomware-Attacke durch WannaCry sollte Anwender, Unternehmen und Regierungen wachrütteln, so zahlreiche Stimmen aus der IT-Sicherheit.

Brad Smith, seines Zeichens President und Chief Legal Officer bei Microsoft, hat sich in einem Blogbeitrag zur Ransomware-Attacke durch WannaCry geäußert. So sei dieser Angriff unter anderem ein Beispiel dafür, warum das Zurückhalten von Wissen um Schwachstellen durch Regierungen ein so großes Problem sei. Die Ransomware basiert offenbar auf einem Teil des NSA-Exploits, der wiederum vor einiger Zeit von einer Hackergruppe publik gemacht worden war. WannaCrypt sei insgesamt ein Weckruf für alle, so Brad Smith.

Die am Freitag den 12. Mai bekannt gewordene Attacke hat eine Schwachstelle in Windows ausgenutzt. Bereits im März hatte Microsoft ein Sicherheitsupdate (MS17-010) für alle unterstützten Windows-Versionen zur Verfügung gestellt. Mit diesem wurde die Schwachstelle geschlossen. Offensichtlich wurde dieses Sicherheitsupdate keineswegs allerorten eingespielt, beziehungsweise kommen immer noch veraltete Betriebssysteme zum Einsatz, die keine Updates mehr erhalten. Beides ist im Hinblick auf die IT-Sicherheit mehr als bedenklich. Angesichts der Situation habe man sich seitens Microsoft entschlossen, auch für nicht mehr unterstützte Systeme wie Windows XP oder Windows Server 2003 einen entsprechenden Patch zum Download parat zu stellen.

Bei allen aktuell unterstützen Windows-Versionen hätte die Sicherheitslücke im SMB-Protokoll bereits mit den März-Updates geschlossen werden können. Da WannaCry oder Wana Decrypt0r zudem auch wurmartige Verbreitungsmethoden genutzt hat, sind die Folgen entsprechend flächendeckend.

Systeme up-to-date halten

Wir haben nachfolgend einige Stimmen und Kommentare zur WannaCry-Attacke zusammengefasst:

Dr. Wieland Alge, Vice President und General Manager EMEA bei Barracuda Networks: „Essentiell war wohl, dass eine Wurmkomponente verantwortlich war, die aus gezielten Einzelinfektionen eine interne Massenepidemie werden ließ. Das schafft eine ganz neue Dimension und lässt Schlimmstes für die Zukunft befürchten. WannaCry ist auch ein beängstigendes Beispiel für ein Versäumnis bei den IT-Verantwortlichen. Wir versuchen seit Jahren, den Menschen beizubringen, ihre Systeme up-to-date zu halten und dann setzen wir sie vor Rechner, die seit geraumer Zeit nicht mehr sicher sind. Ein Wake-up-Call für CIOs und Admins, dass es mit gutem Zureden und „Human Error by User“-Ausreden nicht getan ist. Zerknirscht die Verantwortung übernehmen und die Frage nach dem WO und WER die Firewall ist, ernsthaft zu stellen, ist die einzig ehrliche Reaktion. IT-Sicherheit ist mittlerweile eine Frage von Leben und Tod geworden, und es ist nicht übertrieben, wenn Experten fordern, dass etwa Krankenhäuser mehr Firewalls haben sollten, als Patienten und ganz allgemein eine Multi-Layer-Strategie in puncto Sicherheit gefahren werden sollte.“

Tim Berghoff, G DATA Security Evangelist: „Die am vergangenen Freitag losgebrochene Infektionswelle nimmt weltweit Unternehmen, öffentliche Einrichtungen und Versorgungsunternehmen ins Visier. Mit Veröffentlichung der WikiLeaks-Dokumente haben wir bereits befürchtet, dass diese Information von Cyberkriminellen für Angriffe genutzt werden. Der Erfolg von WannaCry stellt bereits jetzt das flächenbrandartige Auftreten anderer Ransomware wie Locky oder CryptoLocker in den Schatten.“

Rich Barger, Director Splunk Security Research: „Am Freitag erlebten wir weltweit einen der größten und möglicherweise gefährlichsten Ransomware-Angriffe, den es je gab. Unternehmen wie Telefónica in Spanien oder FedEx in den USA sind betroffen, ebenso wie Krankenhäuser in UK. Dieser Vorfall ist anders als alles, was wir vorher hatten. Es ist eine Kombination aus alt und neu, verbindet die für einen Wurm typischen Selbstverbreitungs-Fähigkeiten, die es bereits 2003 gab, mit DDoS-typischen Effekten aus 2016. Das Erkennen von und die Prävention vor Ransomware und anderer, Daten-zerstörender Malware-Attacken ist im Cybersecurity-Bereich weiterhin eines der wichtigsten Prioritäten in 2017.“

Weitere Angriffe werden folgen

Mirco Kloss, Threat Prevention Evangelist bei Check Point Software Technologies GmbH: “200.000 Opfer, 150 Länder, aber bisher nur 30.000 Euro Lösegeld - Die Zahlen wirken beeindruckend. Beeindruckend deshalb, weil die erste Angriffswelle durch Zufall relativ schnell gestoppt wurde. Doch zum Aufatmen ist es leider noch zu früh, zum einen weil erst nach und nach das wahre Ausmaß bekannt werden wird und zum anderen, weil die Angriffe ohne viel Aufwand wieder gestartet werden können. Nach den Erkenntnissen der offiziellen Stellen floss bislang nur wenig Lösegeld, der Return on Invest für die Attacke ist also gering. Dass anscheinend bei keinem der Betroffenen die Daten zurückerstattet wurden, obwohl diese das Lösegeld bezahlt haben, wirft weitere Fragen über die Beweggründe der Angreifer auf. Anscheinend verfügen die Versender gar nicht über die Möglichkeiten, die per Ransomware verschlüsselten Daten wieder zu entschlüsseln. Obwohl einige Opfer bereits die erpressten Bitcoins überwiesen haben. Trotzdem wird es bei diesem ersten Angriff nicht bleiben, es wird weitere Attacken geben. Die Anzahl der Angriffsvektoren ist zu groß, so dass die Angreifer nicht einfach aufhören werden. Nach den Erkenntnissen des Sicherheitsunternehmens Check Point wurden fünf klar voneinander unterscheidbare Methoden eingesetzt. Mit dem WannaCryptor werden Unternehmen per direkter Infektion angegriffen. E-Mails mit bösartigen Links werden versendet. E-Mails enthalten außerdem bösartige PDF-Anhänge oder aber ZIP-Dateien, die ebenfalls Schadcode-belastete PDFs enthalten. Darüber hinaus wurden Brute Force-Attacken gegen RDP-Server registriert, die bei Erfolg ebenfalls die Ransomware streuen. Nun wird es im Zuge der Bedrohung zwar zu einer Update-Welle kommen, aber nicht alle Systeme werden gepatcht, wie wir aufgrund vorangegangener Erfahrungen wissen. Was vor allem in spanischen und englischen Krankenhäusern passiert ist, weckt Erinnerungen an das Frühjahr 2016, als der Locky-Verschlüsselungstrojaner in Deutschland sein Unwesen trieb und zu ähnlichen Ausnahme-Situationen führte. Diesmal aber verbreitet sich die Malware wie ein Virus und verteilt sich von einem Rechner über das gesamte Netzwerk auch auf andere Rechner.“

Becky Pinkard, Vice President, Service Delivery and Intelligence Operations bei Digital Shadows: “Es ist nur eine Frage der Zeit, bis Cyberkriminelle die Erpressersoftware weiterentwickeln und damit zu einem noch bösartigeren Wurm machen. Eine Art Notschalter beziehungsweise „Kill Switch“ im Code, die bei WannaCry eine weitere Verbreitung am Freitag zumindest verlangsamte, wird es in diesen Versionen dann mit Sicherheit nicht geben. Auf dem betroffenen Port 445 sind immer noch 1,3 Millionen Server-Message-Block-Services (SMB) zu finden, auf die von extern zugegriffen werden kann. Die Services werden genutzt, um auf Dateien, Drucker oder serielle Ports zuzugreifen und eine Kommunikation zwischen den Knoten eines aus Windowsgeräten bestehenden Netzwerks zu ermöglichen. Der von Microsoft Security zur Verfügung gestellte Patch MS17-010 wird manche damit verbundene Sicherheitslücken geschlossen haben. Aus Sicht von Cyberkriminellen besteht aber immer noch eine riesige Angriffsfläche, die für Erpressungsversuche ein vielversprechendes Ziel abgibt.  Die gute Nachricht für Unternehmen und Organisationen, die noch nicht betroffen sind: Mit dem Ausführen des Patches MS17-010 lässt sich eine WannaCry-Attacke verhindern. Und es gibt eine Reihe an Methoden, um sich gegen Ransomware auch künftig zu schützen – angefangen bei Zugriffssteuerungslisten über host-based Hardening bis zum kompletten Abschalten von SMB-Services in Windows-Umgebungen.“

Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik: „Als nationale Cyber-Sicherheitsbehörde beobachten wir rund um die Uhr intensiv die Lage und stimmen uns dazu auch mit betroffenen Unternehmen in Deutschland sowie mit unseren internationalen Partnern in Frankreich und Großbritannien ab. Seit Bekanntwerden der Angriffswelle hat unser Lagezentrum hierzu eine Reihe von Telefonkonferenzen und Gesprächen geführt. Das Krisenmanagement funktioniert. Um einen möglichst vollständigen Überblick über die Lage zu bekommen, rufen wir betroffene Institutionen auf, Vorfälle beim BSI zu melden. Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen.“

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

WannaCry: Weltweite Cyberattacke mit Ransomware infiziert tausende Systeme

Best Practices: Ransomware verhindern oder eindämmen

Ransomware-Angriffe: Die Kosten für Unternehmen

Wie man den Risikofaktor Windows SMB in den Griff bekommt

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close