goSecurity BLOG

Wie Sie bereits im BLOG von Michel Hennet vom 21. April 2016 nachlesen können, ist die Idee von Ransomware nicht wirklich neu. Neu ist hingegen die hohe Wahrscheinlichkeit für den Angreifer nicht gefasst zu werden. In jedem Film (und meines Wissens auch in der Wirklichkeit) ist die Geldübergabe für einen Erpresser sehr anspruchsvoll. Meistens wird der Erpresser bei der Geldübergabe gefasst. Die anonyme Bitcoin-Währung ist für Internet-Erpresser deshalb ein Segen. Diese neue Möglichkeit hat die Verbreitung von Ransomware seit 2015 stark «gefördert». Der neueste Fall von WannaCry eröffnet eine neue Ära… die eigentlich auch nicht wirklich neu ist.

 

Die Geschichte von Ransomware

Kennen Sie den Unterschied zwischen einem Computervirus, einem Wurm, einer Scareware und einem Trojanischen Pferd? Selbst Informatik-Fachleute können den Unterschied nicht immer auf Anhieb erklären. Häufig ist der Unterschied im ersten Moment auch nicht relevant. Vor allem weil Malware oft eine Kombination aus verschiedenen Kategorien ist. Der Begriff Malware wird in diesem Blog übrigens als Überbegriff für sämtliche Arten von Schadsoftware verwendet. Eine Ransomware wird klassischerweise vom Benutzer selbst ausgeführt, verschlüsselt dann die Daten und erpresst Geld (in Form von Bitcoins) um an den Schlüssel zur Rettung der Daten zu gelangen. Die Schutzmassnahmen sind (zumindest in der Theorie) einfach:

• Die Benutzer zu schulen, dass Sie vorsichtiger werden und die Ransomware (z.B. ein Word in einem E-Mail) nicht einfach öffnen
• Restriktives Zugriffs- und Berechtigungskonzept
• Auf die Businessanforderungen zugeschnittenes Backup-Konzept, um im schlimmsten Fall den Datenverlust gering zu halten
• Optional aber effektiv: gezielter Ransomware-Schutz (Software, die erkennt, wenn Daten verschlüsselt werden)

In der Praxis waren viele Unternehmen schon bei diesen einfach klingenden Massnahmen nachlässig.

Nicht zuletzt durch die penetrante Verbreitung von Ransomware wurden die Firmen dann vermehrt gezwungen diese grundlegenden Sicherheitsmassnahmen konsequenter umzusetzen.

 

Der Unterschied von WannaCry

Fassen wir den vorhergehenden Abschnitt kurz zusammen. Ransomware war / ist so erfolgreich, weil viele Unternehmen schon bei der Anwendung grundlegenden Sicherheitsmassnahmen nachlässig sind. Möglicherweise deshalb kamen die Entwickler von WannaCry auf die Idee, dass in diesem Fall Unternehmen auch bei der Umsetzung von anderen grundlegenden Sicherheitsmassnahmen nachlässig sind. WannaCry ist eine Kombination einer klassischen Ransomware mit einem Wurm. Ein Wurm nimmt die Haupteigenschaft in Anspruch, dass er sich selbstständig (und meist unkontrolliert) weiterverbreitet. Im Fall von WannaCry wird eine bereits seit März 2017 gepatchte Schwachstelle (MS17-010) im SMB-Server von Windows ausgenutzt. Hat sich WannaCry also auf einem PC eingenistet, sucht sich die Malware weitere verwundbare Systeme. Speziell ist zudem die Geschichte der ausgenutzen Schwachstelle, weil diese (so wird vermutet) über längere Zeit durch die NSA «heimlich» verwendet wurde.

 

Wie hoch ist das Schadenspotenzial von WannaCry?

WannaCry ist in vielen Fällen gar nicht gefährlicher als eine «normale» Ransomware. Die Erstinfektion durch WannaCry fand in den bisher bekannten Fällen durch E-Mails statt. Das ist nichts Besonderes. Hat die betroffene Firma eine effektive Patchstrategie, kann sich die Ransomware (trotz Wurm-Eigenschaft) nicht weiterverbreiten. Wurde zudem darauf geachtet, dass die Benutzer nur über tatsächlich benötigte Berechtigungen verfügen und wurde ein angemessenes Backup-Konzept umgesetzt, ist der effektive Schaden in vielen Fällen überschaubar. Erst, wenn Betroffene ihre Systeme nicht resp. schlecht patchen oder gar veraltete Systeme wie Windows XP einsetzen, ist die Gefahr grösser. Einerseits können möglicherweise mehr Daten im Netzwerk verschlüsselt werden. Andererseits müssen viel mehr Geräte wiederhergestellt werden.

In der Schweiz werden stark veraltete System wie Windows XP häufig für Maschinensteuerungen verwendet. Auch wenn aktuellere Betriebssysteme zum Einsatz kommen, gibt es Maschinen, welche die Zertifizierung verlieren, wenn Patches ungefragt eingespielt werden. Nun hört es sich einfach an, solche Systeme zu ersetzen. Eine Windows 10 Lizenz kostet ja nicht alle Welt. Das stimmt. Zum Teil kosten aber die Maschinen, die damit gesteuert werden, mehrere Millionen. Nur wegen Windows XP eine neue Maschine zu kaufen, kann kein Sicherheitsverantwortlicher angemessen begründen. Wenn Fahrplananzeigen der Deutschen Bahn ausfallen, mag das ärgerlich sein. Wenn eine Beatmungsmaschine in einem Spital ausfällt, muss ich Ihnen nicht weiter erklären, dass Menschenleben in Gefahr sind. Für diese Spezialfälle gibt zwei wichtige Massnahmen:

• Schon bei Ausschreibungen für Maschinen die IT-Sicherheit angemessen berücksichtigen und Herstellern den Vorzug geben, welche auf aktuelle Betriebssysteme setzen und diese zeitnah aktualisieren
• Vorhandene Systeme netzwerktechnisch isolieren

Eigentlich hätten wir uns also auch vor WannaCry (zumindest von den speziellen Verbreitungs-Eigenschaften) schützen können. Mit Patchen. Sicherheitsexperten predigen diese Massnahme immer wieder als grundlegend und essentiell. Warum konnte WannaCry dennoch so eine weite Verbreitung erzielen?

 

Es gibt keinen Patch für die menschliche Dummheit

Kevin Mitnick sagte einmal: «Es gibt keinen Patch für die menschliche Dummheit.» Diese Aussage mag sich herablassend anhören. Ich denke jedoch, dass Kevin Mitnick etwas anderes aussagen wollte, als wir im ersten Moment denken. Es geht nicht darum, dass die Menschheit dumm ist. Es geht vielmehr darum, dass die Menschheit, im Gegensatz zu Maschinen, nicht rational agiert. Folglich können wir uns nicht mit Technik (Patch) vor menschlichen Fehlern (Dummheit) schützen. IT-Benutzer müssen regelmässig sensibilisiert werden, um das Risiko klein zu halten. Aber auch dann bleiben Menschen menschlich. Ein Restrisiko bleibt. Auch wer seine Benutzer gut sensibilisiert hat, kann WannaCrypt einfangen.

Viele Firmen tragen dagegen zumindest eine grosse Mitschuld, wenn Sie Opfer der Wurm-Eigenschaften von WannaCry geworden sind, denn dagegen gab es einen Patch.

 

Was können wir lernen

Als Ingenieur bin verführt zu behaupten, dass wir gar nichts lernen können aus WannaCry. WannaCry war nicht revolutionär. WannaCry zeigt uns keine neuen Sicherheitsmassnahmen auf, die wir umsetzen können. WannaCry zeigt nur auf, dass Risikomanagement für die IT-Prozesse Chefsache ist. Ein Geschäftsführer oder Vorstand, der heute noch der Meinung ist, dass IT und IT-Sicherheit nur etwas für Ingenieure ist, der handelt gleichermassen Blind, wie wenn ihn die Zahlen seines Unternehmens nicht interessieren würden.

Eilig einen Patchprozess zu entwerfen oder zu verändern ist eine gute Sofortmassnahme. Dabei darf es aber nicht bleiben. Starten Sie ein umfassendes Risikomanagement über Ihre IT-Prozesse. Auch in der IT gibt es keine 100% -ige Sicherheit. Deshalb ist es wichtig, dass die Massnahmen auf die Anforderungen Ihres Business zugeschnitten werden. Wenn Sie noch heute damit starten, dann haben Sie meiner Ansicht nach aus WannCrypt gelernt. – Ich wünsche Ihnen viel Erfolg!