Vernachlässigte IT-Sicherheit

Ein Jahr danach - WannaCry immer noch gefährlich

08.05.2018 von Ondrej  Vlcek
Wir blicken auf die WannaCry-Cyberattacke vor einem Jahr zurück und hinterfragten, ob IT-Industrie und Anwender alles darangesetzt haben, eine Wiederholung zu verhindern.
Auch ein Jahr nach WannaCry - kein seltenes Bild.
Foto: Zephyr_p - shutterstock.com

Am 12. Mai 2017 erfolgte der in der Geschichte bislang größte Angriff von Erpressersoftware - bekannt wurde er als "WannaCry". Die heute berüchtigte Ransomware verbreitete sich wie ein Lauffeuer, das rund um den Globus willkürlich PCs infizierte - egal ob von Privatanwendern, Unternehmen, Behörden oder gar Computer im Gesundheitswesen wie die von Krankenhäusern. Ein Jahr danach gibt es die Schadsoftware WannaCry, die die EternalBlue-Schwachstelle ausnutzt, immer noch. Erst kürzlich soll es den Flugzeugbauer Boeing getroffen haben.

Der erste WannaCry-Angriff ging wohl von einem Staat und nicht wie so oft von Cyberkriminellen aus, die mit Erpressersoftware in erster Linie Geld verdienen wollen. Das Motiv waren vermutlich zerstörerische Absichten. Ende des vergangenen Jahres hat die Regierung der USA Nordkorea für den Angriff verantwortlich gemacht.

Zu diesem Zeitpunkt wurde der Code von WannaCry beschädigt, einschließlich der Bezahlungskomponente. Die Drahtzieher der Attacke haben im August 2017 noch schätzungsweise rund 140.000 Dollar damit verdient. Diese Summe und die Bitcoins, die anhand der drei in WannaCry einprogrammierten Bitcoin-Adressen ersichtlich sind, ist in Hinsicht auf die enorm hohe Infektionsrate gering.

Maßnahmen gegen Ransomware
Verseuchte E-Mails
Ransomware verbreitet sich häufig über verseuchte E-Mail-Attachments oder über Nachrichten mit Links auf mit Schadcode versehene Webseiten.
Drive-by-Downloads
Ein weiterer häufiger Infektionsweg sind Drive-by-Downloads. Dabei werden Anwender auf manipulierte Webseiten gelockt, die Sicherheitslücken ausnützen und Malware einschleusen.
Kontrolle der Zugriffsrechte
Damit sich Ransomware nicht unkontrolliert im Unternehmen ausbreiten kann, sollten die Zugriffsrechte kontrolliert und auf die wirklich benötigten Rechte begrenzt werden.
Achtung bei Änderungen an der Registry
Änderungen an der Registry der Rechner im Unternehmen sollten automatisch überprüft werden, um die Infektion mit neuer Malware schnell zu erkennen.
Zugriffe überwachen
Ein Grund zur Besorgnis sind außerdem, wenn von einem Anwender plötzlich ungewöhnlich viele Zugriffe auf vernetzte Laufwerke und Ordner ausgehen.
Überblick über gelöschte Dateien
Eine Analyse der von einem infizierten Rechner aus gelöschten Dateien und Ordner hilft bei der Wiederherstellung der Dateien, sofern vorher rechtzeitig ein Backup erstellt wurde.

Die starke Verbreitung von WannaCry beruht auf drei Schlüsselfaktoren. Zum einen nutzt die Schadsoftware eine Schwachstelle aus, die auf vielen PCs mit älteren Betriebssystemen zu finden ist. Die älteren Betriebssysteme wurden zudem nicht mehr unterstützt und waren somit anfällig für den Exploit. Hinzu kommt, dass es keiner zusätzlichen Handlung des Nutzers bedurfte, um den Angriff auszuführen, da die Malware als Wurm programmiert wurde. Doch wie konnte es damals eigentlich überhaupt so weit kommen?

Schleppende Akzeptanz von Patches

WannaCry verbreitete sich explosionsartig, indem es die Windows-Schwachstelle EternalBlue - auch MS17-010 genannt - ausnutzte und ohne weiteres Zutun der Anwender die Computer infizierte. EternalBlue ist ein schwerwiegender Bug im Code von Microsoft Windows und mindestens so alt wie Windows XP.

Die Schwachstelle ermöglicht es Angreifern, den Code ferngesteuert auszuführen, indem sie eine Anfrage an das Windows File und den Printer Sharing Service erstellt. Die auf einem PC bereits aktive WannaCry-Malware scannt sowohl das lokale als auch das Sub-Netzwerk und sucht zufällig eine IP-Adresse aus. Sobald sie einen verwundbaren Computer aufgespürt hat, kann sie diesen aufgrund der Wurm-Funktion auch angreifen.

Berichten zufolge wurde die Schwachstelle von der NSA entdeckt, die ihr den Namen "EternalBlue" gab, sie geheim hielt und dann ein Backdoor-Tool entwickelte, um sie auszunutzen. Eine Gruppe von Hackern namens ShadowBrokers brachte den Exploit einen Monat vor Verbreitungsbeginn von WannaCry ans Licht. Microsoft veröffentlichte im März 2017 einen Patch für EternalBlue - zwei Monate vor WannaCry. Weil viele Anwender diesen Patch nicht installierten, konnte WannaCry überhaupt erst so stark werden.

Ransomware-Angriffe 2017: Top 5
CryptoLocker
Den ersten Auftritt auf der großen Bühne hat Ransomware mit dem Auftauchen von CryptoLocker im Jahr 2013. Der Schädling verbreitet sich als Anhang von Spam-Nachrichten und nutzt RSA Public Key Encryption, um Files zu verschlüsseln. Zur Freigabe der Daten muss bezahlt werden. Insgesamt erpressen kriminelle Hacker mit CryptoLocker und seinen Abwandlungen rund drei Millionen Dollar.
TeslaCrypt
TeslaCrypt zielt in seiner ursprünglichen Form auf die File-Erweiterungen populärer Videospiele wie Call of Duty. Ein besonders fieser Aspekt dieser Ransomware: Ihre Autoren verbessern sie kontinuierlich und schließen Anfang 2016 auch eine Lücke, über die infizierte Systeme zurückgesetzt werden können. Im Jahr 2016 sind 48 Prozent aller Ransomware-Attacken auf TeslaCrypt zurückzuführen. Im Mai 2016 überraschen die Ransomware-Autoren dann mit der Nachricht, ihre kriminellen Aktivitäten einstellen zu wollen. In der Folge wird der Master Decryption Key veröffentlicht, der die Daten-Geiselnahme beendet.
SimpleLocker
SimpleLocker ist die erste mobile Ransomware, die tatsächlich Daten verschlüsselt und in Geiselhaft nimmt. Noch dazu ist es auch die erste Ransomware, die ihren maliziösen Payload per Trojaner ausliefert, was wiederum die Erkennung und Beseitigung durch Sicherheitslösungen erschwert. Obwohl (oder gerade weil) SimpleLocker aus Osteuropa stammt, sind drei Viertel seiner Opfer in den USA beheimatet.
WannaCry
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen erstmals gestohlene NSA-Hacking-Tools zum Einsatz. WannaCry nutzt eine Schwachstelle im Windows-SMB-Protokoll aus, kann aber letztlich durch das mehr oder weniger zufällige Auffinden eines "Kill Switch" entschärft werden.
Petya
Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die auf der bereits seit 2016 bekannten Malware Petya basiert. Diese neue Form nutzt dieselbe Sicherheitslücke wie WannaCry. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen, der Schwerpunkt liegt in der Ukraine und Russland. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht.

Schlechtes Patch-Verhalten

Die Nachricht von WannaCry wurde weltweit von der Presse aufgriffen und mittlerweile haben viele Nutzer von der Ransomware gehört. Doch trotz dieser umfassenden medialen Berichterstattung und den verheerenden Folgen für Privatanwender und Unternehmen haben viele PC-Nutzer ihre Systeme noch immer nicht mit dem Patch aktualisiert, um sie damit vor einem Angriff von WannaCry zu schützen. Das wirft die Frage auf: Warum patchen die Anwender nicht?

Über die Gründe lässt sich nur spekulieren: Zum einen könnte es an einem mangelnden Verständnis für Patches und Software-Updates liegen - was sie sind, was sie tun und warum sie so wichtig sind. Der durchschnittliche Anwender ist sich vielleicht nicht der Tatsache bewusst, dass ein System Schwachstellen enthält, die Internetkriminelle zur Verbreitung von Malware ausnutzen können. Sobald Schwachstellen bekannt werden, erstellen Software-Entwickler normalerweise zeitnah einen Patch um das Problem zu beheben. Das Ausmaß von WannaCry hätte sich also minimieren lassen, wenn mehr Anwender den MS17-010 Patch installiert hätten.

Zum anderen empfinden viele Nutzer das Installieren von Updates als störend, denn es erfordert eine Unterbrechung der aktuellen Tätigkeit am PC. Manchmal ist sogar auch ein Neustart nötig oder die Programmoberfläche ist danach verändert. Vielen Anwendern ist all das zu lästig und sie ignorieren die eigentlich dringend erforderlichen Aktualisierungen einfach.

Unabhängig davon wurden auch einige Systeme wie Windows XP nicht mehr mit dem Patch versorgt und waren der WannaCry-Attacke schutzlos ausgeliefert. Trägt die IT-Industrie also auch eine Mitschuld an WannaCry?

Mehr Verständnis für Patches

Damit Patches besser angenommen werden, muss die IT-Branche das Image der Patches verändern und ihre Notwendigkeit, nämlich das Beheben von Problemen und den Schutz vor Attacken, verdeutlichen. So könnte beispielsweise der Hintergrund eines Patches bei der Aufforderung zur Installation veranschaulicht werden, um so ganz konkret auf die Folgen aufmerksam zu machen, falls das Update ignoriert wird.

Daneben sollte die Anwenderfreundlichkeit der Patches verbessert werden - sei es durch kleinere Softwarepakete oder Installationen im Hintergrund bzw. über Nacht. Und dann gibt es noch einen Knackpunkt: Die Software-Entwickler müssen sich darüber im Klaren werden, dass ihre Systeme die ursprünglich geplante Lebenszeit oft überdauern - aufgrund der robusten Hardware und ihrer Beliebtheit.

Windows XP und Windows Vista zum Beispiel sind immer noch bei einigen Anwendern im Einsatz, obwohl Microsoft für diese beliebten Systeme keine Aktualisierungen mehr zur Verfügung stellt. Ein gefundenes Fressen für Cyberkriminelle.

Ein Blick in die Zukunft verrät uns auch, dass Updates nicht nur für PCs nötig sind, sondern auch für sämtliche IoT-Geräte. Nachdem internetfähige Geräte Einzug in private Haushalte gehalten haben, gilt es, ihre Sicherheit zu erhöhen - bei vielen davon kann die Software nicht länger als zwei Jahre lang aktualisiert werden. Damit stellen sie aus Sicht der Cyberkriminellen ein attraktives Einfallstor für Angriffe dar, gerade weil man nicht nur das einzelne Gerät, sondern das ganze System lahmlegen kann.

Sichere Updates notwendig

Leider gibt es auch eine Schattenseite der Updates. Nämlich dann, wenn sie von Cyberkriminellen benutzt werden, um mit ihnen massenhaft Malware zu verbreiten. Solche Angriffe werden Supply-Chain-Attacken genannt und funktionieren so: Angreifer schleusen einen verseuchten Code in eine legale, open-source oder kommerzielle Applikation. Sobald die Nutzer diese Anwendung installieren oder updaten, bekommen sie automatisch die Malware mitgeliefert. Gerade weil die Sicherheitsbranche den Cyberkriminellen immer mehr entgegenzusetzen hat, werden Supply-Chain-Attacken häufiger.

Sich vor Supply-Chain-Angriffen zu schützen, ist eine komplexe Aufgabe für Unternehmen und auch für die Softwareentwickler selbst. Um Installationsprogramme und Updates sicher zu machen, muss die Softwarebranche auf angemessene Sicherheitsmaßnahmen achten. Dazu gehören neben traditionellen Schutzprogrammen auch getrennte Netzwerke mit eingeschränkten Zugriffen für Updates sowie eine reduzierte und kontrollierte Nutzung von Services bei den verbundenen Geräten.

Das Netzwerk muss streng überwacht werden, so dass auf Unregelmäßigkeiten sofort reagiert werden kann. Entscheidend sind aber letztlich auch achtsame Mitarbeiter, denen die Tragweite eines sorglosen Umgangs mit Sicherheitsrichtlinien bewusst ist.

Hacker sind ein Stück weit auch darauf angewiesen, dass Menschen Fehler machen und sich nicht an die Regeln halten. Deshalb sollten regelmäßige Penetrationstests durchgeführt werden, denn sie sind für Unternehmen eine gute Möglichkeit um festzustellen, wo ihre Schwachstellen liegen und wie Cyberkriminelle in ihr Unternehmen eindringen könnten.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Kritische Daten schützen

Obwohl jeder darauf achten sollte, was er anklickt und wie er sich im Internet verhält, gibt es einige Sicherheitsbedrohungen, die sich vom Anwender nicht so einfach kontrollieren lassen. Folgende Maßnahmen können aber dazu beitragen, die Privatsphäre und sensible Daten im Internet so gut wie möglich zu schützen:

1. Ein leistungsstarker und aktuell gehaltener Virenschutz ist Pflicht. Es gibt auch sehr gute kostenlose Programme, die vor Malware einschließlich Spyware und Erpresser-Software schützen.

2. "Prüfen & Ändern" ist die Devise für mehr Sicherheit. Wenn ein Passwort älter als vier Wochen ist, dann sollte es geändert werden. Der Router ist das Gateway für alle damit verbundenen Geräte und ein Einfallstor für Schädlinge - deshalb muss hier begonnen werden. Im Anschluss daran sollten die Passwörter der einzelnen Geräte und schließlich die der einzelnen Anwendungen geändert werden, vor allem wenn es bei einem davon jüngst zu einem Angriff kam. Hier ist die Wahrscheinlichkeit sehr groß, dass die Passwörter nicht mehr sicher sind.

3. Auch wenn es schwierig ist: Für jede Anwendung müssen verschiedene Passwörter verwendet werden - vor allem, wenn es um Accounts mit sensiblen Daten wie Banking oder Facebook geht. Geeignete Passwort-Manager können dabei helfen, den Überblick zu behalten, denn sie speichern die einzelnen Passwörter sicher hinter einem Master-Passwort.

4. Zwei-Phasen-Authentifizierung ist beim Log-in bestimmter Websites ratsam. So könnte beispielsweise beim Online-Banking das Handy als zweite Sicherheitsinstanz eingesetzt werden, indem es einen Code empfängt, der zur Verifizierung der Log-in-Daten eingegeben werden muss.

5. Nach wie vor sind Phishing-E-Mails im Umlauf, die zum Öffnen von Anhängen auffordern oder nach persönlichen Daten oder Banking-Details fragen. Sobald Nutzer darauf antworten, erhalten Cyberkriminelle Zugang zu den Accounts, die mit diesen Passwörtern gesichert sind, oder die verseuchten Anhänge infizieren den PC mit Erpressersoftware oder anderer Malware.

Fazit

Ein Jahr nach WannaCry weiß niemand, wann und wie der nächste Angriff dieser gewaltigen Dimension erfolgen wird. Fest steht aber, dass der Kampf gegen Cyberkriminelle weitergehen wird. Wenn die Guten gewinnen wollen, müssen sowohl die Softwarebranche als auch die Anwender jeden Tag aufs Neue ihren Beitrag dazu leisten.

"Saubere" Updates auch für ältere Systeme zur Verfügung zu stellen, die im nächsten Schritt von den Anwendern installiert werden, wäre ein gemeinsamer Schritt in die richtige Richtung. (hal)