{"id":10918,"date":"2017-05-15T16:18:04","date_gmt":"2017-05-15T14:18:04","guid":{"rendered":"https:\/\/www.retarus.com\/blog\/de\/?p=10918"},"modified":"2024-03-12T17:46:43","modified_gmt":"2024-03-12T16:46:43","slug":"was-wir-aus-wannacry-lernen-koennen","status":"publish","type":"post","link":"https:\/\/www.retarus.com\/blog\/de\/was-wir-aus-wannacry-lernen-koennen\/","title":{"rendered":"Was wir aus “WannaCry” lernen k\u00f6nnen"},"content":{"rendered":"\n

Am vergangenen Wochenende \u00fcberschlugen sich die Schlagzeilen zu der Erpressungs-Software “WannaCry”<\/a>, die Rechner rund um den Globus lahmlegte – darunter auch kritische Infrastrukturen.<\/p>\n\n\n\n

Die Ransomware nutzte eine schon l\u00e4nger bekannte Sicherheitsl\u00fccke in Windows aus, die der Betriebssystemhersteller Microsoft bereits im M\u00e4rz gestopft hatte. Weil aber viele Rechner noch nicht mit dem entsprechenden Patch aktualisiert waren oder mit einem so alten Windows laufen, dass Microsoft daf\u00fcr gar keine Korrekturen mehr regul\u00e4r bereitstellt<\/a>, verbreitete sich die auch als “WannaCryptor”, “WannaCrypt”, “Wana Decrypt0r” oder “WCry” bezeichnete Malware in Windeseile. Sie forderte dabei prominente Opfer wie das britische Gesundheitswesen NHS<\/a>, den franz\u00f6sischen Autobauer Renault, den spanischen Carrier Telef\u00f3nica oder die Deutsche Bahn, wenngleich “nur” deren Anzeigetafeln<\/a>. Viel Geld haben die bislang unbekannten Urheber damit allerdings nicht erpresst<\/a>.<\/p>\n\n\n\n

\n

Note: This bot is watching the 3 wallets hard-coded into #WannaCry<\/a> ransomware. It tweets new payments as they occur, totals every two hours.<\/p>\n\n\n\n

\u2014 actual ransom (@actual_ransom) 15. Mai 2017<\/a><\/p>\n<\/blockquote>\n\n\n\n

Die USA und Kanada blieben dank Zeitverschiebung von dem Ausbruch bereits weitgehend verschont: Als dort am vergangenen Freitag die B\u00fcrorechner hochgefahren wurden, hatte bereits ein 22-j\u00e4hriger britischer Sicherheitsforscher mehr oder weniger zuf\u00e4llig einen Abschaltmechanismus f\u00fcr “WannaCry” gefunden und aktiviert<\/a> – sobald der Schadcode eine bestimmte Webseite konnektiert fand, w\u00e4hnte er sich in einer Sicherheits-Testumgebung (“Sandbox”) und stellte seine Aktivit\u00e4t ein. Seit Sonntag ist aber auch schon eine neue Variante ohne diesen “Kill Switch” in Umlauf<\/a>.<\/p>\n\n\n\n

“WannaCry” verbreitet sich \u00fcber Computernetze und nutzt daf\u00fcr technisch einen Fehler in einer \u00e4lteren Microsoft-Umsetzung des Protokolls SMB (Server Message Block) f\u00fcr Datei-, Druck- und andere Serverdienste in Rechnernetzen<\/a>. Das Wissen um den Fehler hatte der gr\u00f6\u00dfte US-Milit\u00e4rgeheimdienst NSA gebunkert – bis zum Sp\u00e4tsommer 2016, als die Hacker-Gruppe Shadow Brokers dort virtuell einbrach, eine ganze Reihe von Spionage-Tools entwendete und hernach zu Geld machen wollte.<\/p>\n\n\n\n

Angriff war nur eine Frage der Zeit<\/h2>\n\n\n\n

Die Shadow Brokers stellten die NSA-Tools dann nach und nach ins Netz. “Eternalblue”, das als Grundlage f\u00fcr “WannaCry” diente, wurde ausgerechnet am Karfreitag publik<\/a>. Sp\u00e4testens ab diesem Zeitpunkt war es eigentlich nur noch eine Frage der Zeit, bis ein entsprechender Angriff erfolgen w\u00fcrde. Auff\u00e4llig zuvor: Microsoft hatte seine monatliche Patch-Ver\u00f6ffentlichung f\u00fcr den Monat Februar kurzfristig abgeblasen<\/a> und dann im M\u00e4rz ungew\u00f6hnlich viele Fehlerkorrekturen ver\u00f6ffentlicht.<\/p>\n\n\n\n

Microsoft stuft die SMB-Sicherheitsl\u00fccke als offensichtlich extrem gravierend ein. Anders ist es nicht zu erkl\u00e4ren, dass der Softwarekonzern am Samstag relativ umgehend den ungew\u00f6hnlichen Schritt ging, au\u00dfer der Reihe Patches auch f\u00fcr offiziell nicht mehr unterst\u00fctzte, aber immer noch verbreitete Windows-Versionen<\/a> wie XP, Server 2003 oder Windows 8 bereitzustellen.<\/p>\n\n\n\n

\"Brad
Microsoft-Chefjurist Brad Smith sieht “WannaCrypt” als Weckruf nicht zuletzt an die Regierungen dieser Welt. Foto: Microsoft<\/figcaption><\/figure>\n\n\n\n

Am Sonntag legte Microsofts President und Chief Legal Officer Brad Smith dann noch eine f\u00fcr Konzernverh\u00e4ltnisse relativ klar getextete Stellungnahme<\/a> nach. Deren Grundtenor: Die Geheimdienste dieser Welt sollten bittesch\u00f6n endlich damit aufh\u00f6ren, noch nicht \u00f6ffentliche Software-Sicherheitsl\u00fccken (“Zero-Days”) zu horten, um sie heimlich f\u00fcr Spionage oder irgendwann als Cyber-Waffen einzusetzen.<\/p>\n\n\n\n

Ein kleines bisschen schwarzen Peter schob Smith freilich auch Microsoft und seinen Kunden zu. In dieses Horn hatte zuvor bereits Arne Sch\u00f6nbohm geblasen, Pr\u00e4sident des Bundesamts f\u00fcr Sicherheit in der Informationstechnik (BSI). “Die aktuellen Angriffe zeigen, wie verwundbar unsere digitalisierte Gesellschaft ist. Sie sind ein erneuter Weckruf f\u00fcr Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzma\u00dfnahmen zu ergreifen”, schrieb der in einer Stellungnahme. “Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verf\u00fcgung. Wir raten dringend dazu, diese einzuspielen.”<\/p>\n\n\n\n

Patch-Management – ein leidiges Thema<\/h2>\n\n\n\n

Sch\u00f6nbohm macht es sich aber zu einfach, wenn er nur die Anwender in die Pflicht nimmt. Die sind leidgepr\u00fcft und nehmen sich lieber ein bisschen mehr Zeit, um die Patches von ihren Softwareherstellern auf Herz und Nieren zu pr\u00fcfen, bevor sie sie in ihrer Infrastruktur ausrollen. In der zunehmend digitalisierten Wirtschaft kann sich eine Firma nicht mehr leisten, dass eine interne Anwendung oder ein Gesch\u00e4ftsprozess nicht mehr funktioniert, weil ein Patch unerw\u00fcnschte “Nebenwirkungen” zeitigt – ein ewiges Dilemma der Enterprise IT<\/a>.<\/p>\n\n\n\n

“WannaCry” macht nat\u00fcrlich trotzdem deutlich, dass man Sicherheitsl\u00fccken in Software heutzutage zumindest dann schleunigst stopfen sollte, wenn sie bereits angegriffen werden und sogenannter Exploit-Code verf\u00fcgbar ist. Cyber-Kriminelle brauchen n\u00e4mlich l\u00e4ngst kein Hacker-Spezialwissen mehr<\/a>, um sich ihre Angriffswerkzeuge zu bauen. Angesichts immer mehr Ransomware kann man auch gar nicht oft genug betonen, wie wichtig regelm\u00e4\u00dfige und aktuelle Backups sind<\/a> – nur damit kann man einen b\u00f6swillig verschl\u00fcsselten Rechner im Falle eines Falles ohne gr\u00f6\u00dferen Datenverlust neu aufsetzen, ohne Bitcoin-L\u00f6segeld zu berappen.<\/p>\n\n\n\n

\n
Bitte akzeptieren Sie Marketing-Cookies<\/a> um diesen Inhalt zu sehen.<\/div>