Weltweiter Angriff durch #WannaCry Verschlüsselungssoftware

von Thomas Stiebner

Erpresser-Software hat sich am Freitag rasend schnell weltweit verbreitet

Eine Erpresser-Software hat sich am Freitag rasend schnell weltweit verbreitet. Die Angriffstaktik stammt offenbar vom amerikanischen Geheimdienst NSA. Betroffen ist auch die Deutsche Bahn.

  • Befallen wurden Rechner mit dem Microsoft-Betriebssystem Windows.
  • Der Cyber-Angriff hat auch Computer der Deutschen Bahn erfasst.
  • Der Zugverkehr sei "nicht beeinträchtigt und stabil", teilte das Unternehmen mit.

Die Schadsoftware "WannaCry" - eine Variante von Ramsonware (Erpressersoftware) - hat sich am Freitag rasant verbreitet und zehntausende Computersysteme in mehr als 150 Ländern weltweit lahmgelegt, darunter auch IT-Systeme großer Organisationen und Firmen. Befallen wurden Rechner mit dem Microsoft-Betriebssystem Windows. Dabei wurde eine Sicherheitslücke im Microsoft Betriebssystem zur Ausbreitung genutzt, die von Microsoft bereits im März geschlossen wurde. Betroffen waren vor allem Systeme, bei denen die Systemaktualisierung - häufig aus Kostengründen - nicht durchgeführt wurde.

Einige Fälle sind namentlich bekannt

Das größte Aufsehen erregen die Ausfälle im britischen Gesundheitssystem. Der britische Gesundheitsdienst National Health Service (NHS) berichtet von infizierten Krankenhaus-Rechnern im ganzen Land. Mindestens 21 Kliniken berichten von größeren Störungen. Angestellte hatten keinen Zugriff mehr auf ihre Computer, zahlreiche OP-Termine mussten verschoben werden. Weil der NHS wegen der Attacke seine IT abschalten musste, konnten zeitweise auch keine Telefonanrufe entgegengenommen werden. Der Guardian berichtet, dass einige betroffene Krankenhäuser nur noch dringende Notfälle annehmen und zum Beispiel keine Röntgenaufnahmen durchführen können.

In Spanien waren zahlreiche Firmen von den Cyberattacken betroffen. Die spanische Telefónica bestätigte den Angriff auf ihre Computer. In den USA verbreitete sich die Schadsoftware unter anderem auf Rechnern des Kurier- und Logistik-Riesen Fedex. Mitarbeiter berichten, dass die Computer bis Montag heruntergefahren wurden.

Am stärksten sind Analysten der Sicherheitsfirma Avast zufolge Russland, die Ukraine und Taiwan betroffen sein. Das russische Innenministerium bestätigte, dass etwa 1000 Computer infiziert seien.

Wie ist die Lage in Deutschland?

Nach Erkenntnissen der israelischen Sicherheitsfirma Check Point Software war von dem Angriff auch Deutschland betroffen. Der Cyber-Angriff hat etwa auch Computer der Deutschen Bahn erfasst. Wie das Unternehmen am Samstagmorgen via Twitter mitteilte, war jedoch der "Zugverkehr nicht beeinträchtigt und stabil". Betroffen seien die Anzeigetafeln in den Bahnhöfen.

Auf Twitter posteten einige Nutzer Fotos von Anzeigetafeln der Deutschen Bahn, auf denen ein Pop-Up-Fenster zu sehen war mit dem Satz "Ooops, your files have been encrypted!" ("Hoppla, deine Dateien sind verschlüsselt worden!")

Was genau macht die Schadsoftware?

Die Experten des Antiviren-Spezialisten Kaspersky Lab haben die Schadsoftware "WannaCry" (auch: Wcrypt, Wanacrypt, Wana Decryptor) als "Übeltäter" infiziert. Die sogenannte Ransomware (zu Deutsch: Erpresser-Software) installiert sich auf Rechnern, verschlüsselt Daten und blockiert dann alle weiteren Aktionen. Erst wenn die Nutzer Geld zahlen, werden die Systeme wieder freigeschaltet. Die Zahlung in Höhe von 300 US-Dollar soll mittels der digitalen Währung Bitcoin erfolgen. Experten warnen allerdings davor, leichtfertig Geld zu überweisen, da es nicht gewährleistet ist, dass nach der Zahlung die Systeme wieder freigeschalten werden.

Wieso konnte sich die Software so schnell verbreiten?

"WannaCry" verbreitet sich wie ein Computerwurm: In einem größeren Computernetzwerk genügt wohl die Infektion eines einzigen verwundbaren Rechners; die Software sucht dann innerhalb des Netzwerks weitere PCs mit Sicherheitslücken und dringt dort ebenfalls ein. Diese hohe Infektionsrate sorgte dafür, dass die Auswirkungen so drastisch sind und die Öffentlichkeit von vielen unterschiedlichen Fällen erfährt.

Die Angreifer nutzten eine Sicherheitslücke in der Windows-Software von Microsoft, die im März dieses Jahres behoben wurde. Betroffen sind demnach Computer, die kein aktuelles Sicherheits-Update durchgeführt haben.

Warum waren so viele Rechner ungeschützt?

Bei dem Großteil der betroffenen PCs könnte es sich um Computer handeln, die noch auf Windows XP laufen. Das Microsoft-Betriebssystem aus dem Jahr 2001 erhält bereits seit Ende 2014 Jahren keine offiziellen Sicherheitsupdates mehr. Der Analysefirma Net Marketshare zufolge sind allerdings noch sieben Prozent aller Desktop-Rechner mit dem alten Betriebssystem ausgestattet. Betroffene mit aktuellerem Betriebssystem haben das Sicherheitsupdate vom März nicht durchgeführt.

Die Verwendung rückständiger Betriebssysteme hängt oft mit Budgetfragen zusammen, Sicherheitsupdates oft mit internen organisatorischen Fragen. "Organisationen sind in der Regel furchtbar schlecht in der Verwaltung der Software-Zyklen (und, ehrlich gesagt, im IT-Management generell)", twitterte der englische IT-Spezialist Kevin Beaumont, der die Attacke prognostiziert hatte. "Sie häufen Sicherheitsschulden an, die dann ausgenutzt werden können."

Was hat die NSA damit zu tun?

Der Angriffscode, der diese Schwachstelle ausnutzen kann, wurde von "Shadow Brokers" veröffentlicht, einer Gruppe, die angeblich gestohlene Hacking-Tools der NSA geleakt hat. Allerdings wurde offenbar nicht das Tool selbst (Name "Eternalblue"), sondern nur Code-Teile und die NSA-Angriffsmethode verwendet.

Nach dem Angriff wurde Kritik an laut, dass Regierungen Fehler in kommerziellen Technologien finden und sie geheim halten, um sie zu nutzen, statt die Öffentlichkeit zu warnen.

Sind derartige Attacken schon in der Vergangenheit vorgekommen?

Ja. 2016 zahlte beispielsweise ein Krankenhaus in Los Angeles 17 000 Dollar in Bitcoins, nachdem eine Erpresser-Software Ärzte und Schwestern tagelang von ihren Computern ausgesperrt hatte.

Konnte die Software mittlerweile gestoppt werden?

Der Wurm kann in der aktuellen Variante offenbar derzeit keine Rechner mehr infizieren. Ein IT-Experte, der unter dem Twitter-Namen @MalwareTech agiert und für die Sicherheitsfirma Kryptos Logic arbeitet, hat die Kontrolle über einen Domain übernommen, die sich im Code der Software verbarg. Damit hat er wohl eine Art Abschaltknopf gefunden.

Die Domainregistrierung, die um 6 Uhr morgens kalifornischer Zeit erfolgte, ist ein großer Glücksfall für Computer in den USA: Die Infektion in den Vereinigten Staaten fiel dadurch wohl deutlich geringer aus, als es möglich gewesen wäre. Allerdings kann der "Abschaltknopf" nicht jenen Systemen helfen, in denen bereits Rechner infiziert sind.

Wie kann man seinen Rechner vor solcher Schadsoftware schützen?

Es ist wichtig, das Betriebssystem mit den neuesten Updates zu versorgen - in diesem Fall schützte das Windows-Sicherheitsupdate vom März. Verbraucher, die ihre Software up-to-date haben, sind vor der aktuellen Ransomware geschützt. Im Falle von bereits infizierten Rechnern hilft nur eines: Den PC neu aufsetzen und das letzte verfügbare Backup einspielen.

Was kann MTS für Sie tun?

Klassische Antivirus Systeme basieren auf s.g. Hash-Werten. Die Frage nach Henne oder Ei ist hier gelöst ... Antivirus Pattern bestehen - vereinfacht dargestellt - aus einer Sammlung von "Quersummen", die bekannte von bekannten Dateien mit Schadsoftware ermittelt werden. Beim Scan auf Bedrohungen wird der ermittelte Hash-Wert einer Datei mit dieser Tabelle verglichen. Stimmen sie überein, ist die Schadsoftware identifiziert.

Moderne Schadsoftware mutiert zu schnell

Während noch vor ein paar Jahren die Schadsoftware relativ statisch war, mutieren die aktuellen Trojaner sehr schnell. Technisch gesehen reicht z.B. bei einem Javascript mit Schadsoftware die Veränderung einer Kommentarzeile, um diese für Antivirus Systeme als unbekannte Datei - und damit als "harmlos" - erscheinen zu lassen. Klassische Antivirus Systeme basieren auf einem "Blacklist" System, in dem bekannte Bedrohungen verwaltet werden.

Den Spieß umdrehen

Mutiert eine Schadsoftware nur langsam, ist - statistisch gesehen - genug Zeit, um die Bedrohung zu erkennen, die Pattern zu aktualisieren und damit eine relativ hohe Sicherheit zu gewährleisten. Den Gefallen tun uns die Hacker aber nicht mehr. Inzwischen mutieren Ramsonware & Co. innerhalb von Sekundenbruchteilen. Kein klassischer Antivirus kann hier Schritt halten. Die Antivirus Hersteller versuchen mit Heuristik, Sandboxing und ähnlichen Verfahren die Situation zu verbessern. Aber alles in allem ist der Ansatz klassischer Antivirus Systeme 30 Jahre alt und entstammt auch der Bedrohungslage der Vergangenheit.

Heute sind andere Verfahren erforderlich, um unbekannten Bedrohungen Herr zu werden. MTS bietet als Ergänzung zum klassischen Antivirus Systeme an, die über ein Whitelisting den Spieß einfach umdrehen. So wird nur der Anhang ausgeführt, der über eine Positivquittierung als gut eingestuft wurde. Das führt simpel und effizient zu einer 100%-tigen Sicherheit vor Bedrohungen.

Ein alternatives Verfahren bietet über die Simulation in einer geschützten Umgebung absolute Sicherheit. Dabei wird - vereinfacht dargestellt - die Bedrohungssituation in einer Sandbox durchgespielt. Kommt es zu unerwünschten Veränderungen, liegt eine Bedrohung vor.

Ist ein aktualisierter PC mit Antivirus absolut sicher?

Nein! Die meisten Varianten von Ramsonware mutieren sehr schnell. Ein "Up to Date" System schließt die Sicherheitslücke für die ungehinderte Verbreitung bis zum heutigen Tag. Es kommen aber täglich neue Sicherheitslücken und damit neue Verbreitungswege hinzu. Das aktuelle Beispiel zeigt, dass selbst nach 4 Wochen bei einer sehr großen Zahl von PCs die Sicherheitslücken nicht geschlossen sind - obwohl die Updates bereitstanden!

Unabhängig vom Verbreitungsweg bleiben mutierende Trojaner eine permanent bestehende Gefahr. Wenn Sie #WannaCry auf einem aktuell gepatchten System mit aktivem Antivirus ausführen, kann dieser - je nach Patternstand - trotzdem verschlüsselt werden, wenn dieser Mutant unbekannt ist!

"Up to Date" ist ein MUSS, um die Bedrohung zu minimieren. Ein 100% Schutz vor mutierenden Trojanern ist es aber auch zusammen mit einem Antivirus nicht!

MTS bietet Lösungen on Premise oder in der Cloud

Wir bieten Ihnen Lösungen, damit WannaCry für Sie kein Schreckgespenst mehr sein muss. Schadsoftware wird heute über so gut gemachten Spam verteilt, dass der Faktor Mensch allein - trotz aller Sensibilisierung - nicht mehr hinreicht.

Sprechen Sie uns an! Wir haben Lösungen, die zu Ihrem Unternehmen passen und einen 100%-tigen Schutz bieten!

Zurück