Informationssicherheit im Mittelstand

WannaCry – Anatomie eines (erfolgreichen) Angriffs

| Autor / Redakteur: Günter Aigle / Peter Schmitz

Wer auch immer für WannaCry verantwortlich war, die nächste Ransomware wird sehr wahrscheinlich keine „Notbremse“ mehr besitzen.
Wer auch immer für WannaCry verantwortlich war, die nächste Ransomware wird sehr wahrscheinlich keine „Notbremse“ mehr besitzen. (© chakisatelier - stock.adobe.com)

WannaCry hat rund um den Globus die Alarmglocken zum Läuten gebracht, für Chaos gesorgt und es bis in die Abendnachrichten geschafft. Die spannende Frage dabei ist, warum der Angriff besonders im Mittelstand so erfolgreich sein konnte und ob es Aussicht auf Besserung gibt. Besonders im Fokus stehen altgediente aber immer noch aktive Windows XP-Installationen, die auch nach Ablauf des Supports nicht erneuert wurden.

Vor genau zwei Monaten, am Freitag, den 12. Mai 2017 läuteten weltweit die Alarmglocken der Cybersecurity-Abteilungen: Es kam zu einer der bislang größten, bekannten Ransomware-Attacken. Mit über 230.000 infizierten Geräten in über 150 Ländern weckte dieser Angriff sogar das Interesse internationaler Organisationen wie Europol. Man sprach von einem Angriff „nie dagewesenen Ausmaßes“. Betroffen waren zunächst ausschließlich ältere Windows-Systeme: Windows XP und Windows Server 2003 standen im Fokus der Attacke. Ein pikantes Detail dabei: die Schadsoftware nutzte offenbar eine Sicherheitslücke im SMB-Protokoll von Microsoft. Die Lücke ist auch unter dem Namen „EternalBlue“ bekannt und wurde von der amerikanischen NSA mehr als fünf Jahre lang für eigene Zwecke ausgenutzt, ohne Microsoft entsprechend zu informieren. Noch pikanter wird es, wenn man weiß, dass es bei der NSA einen Sicherheitsvorfall gab. In dessen Zusammenhang erfuhr eine Hackergruppe namens „Shadow Brokers“ am 14. April 2017 von „EternalBlue“ und veröffentlichte die Schwachstelle. Somit beruht also WannaCry auf einem von der NSA seit Jahren verwendeten Exploit.

Als bezeichnend entpuppte sich dann die Reaktion von Microsoft, als am 12. Mai die ersten Infektionen von WannaCry gemeldet wurden. Innerhalb nur eines Tages, am Samstag den 13. Mai, veröffentlichte Microsoft einen „emergency security”-Patch für die bislang nicht (mehr) unterstützten Systeme Windows XP, Windows Server 2003 und Windows 8. Wann ließ sich jemals zuvor eine so schnelle Reaktion seitens Microsoft beobachten? Und dann auch noch für Systeme, welche teilweise bereits seit Jahren „end of life“ sind?

Überall waren alte Systeme verantwortlich

Für die Systeme, welche noch nicht „end of life“ waren, hatte Microsoft bereits am 14. März 2017 einen entsprechenden Patch ausgeliert und die Sicherheitslücke „EternalBlue“ damit geschlossen. Somit waren alle ordentlich gepatchten Windows 7 (und höher) und Windows Server 2008 (und höher) per se einmal nicht gefährdet.

Worin liegen also die Gründe für die erfolgreiche Ausbreitung von WannaCry? Und warum ist die Gefahr noch lange nicht gebannt? Werfen wir dazu einem einen Blick in die IT-Abteilungen der Firmen und schauen uns die durchschnittliche EDV-Landschaft etwas genauer an.

Im Frühjahr 2001 kam nach einigen „Startschwierigkeiten“ endlich das neue Betriebssystem von Microsoft auf den Markt. Es trug den Namen Windows XP. Nach vielen nicht so erfolgreichen Versuchen von Windows NT 4.0 bis zu Windows 2000 war es das erste, wirklich verlässliche und stabile Betriebssystem von Microsoft und wurde im privaten Bereich wie in der Industrie gleichermaßen gerne aufgenommen. Der Nachfolger von XP, Windows Vista, erwies sich gewissermaßen als „Rohrkrepierer“. Das System war kompliziert und vor allem instabil. Auch in den Firmen konnte es Administratoren nicht begeistern, da die Automatismen von Vista zu viel „allein“ machen wollten und somit die Kontrolle über die Systeme stückweise verloren ging. Erst mit Windows 7 im Herbst des Jahres 2009 gelang Microsoft wieder ein „großer Wurf“. Es dauerte dann - wie bei Microsoft üblich - aber noch zwischen einem und drei Jahren, bis vor allem in der Industrie Windows 7 flächendeckend ausgerollt wurde. Und auch Windows 7 schaffte es in vielen Bereichen nicht, das gute alte Windows XP abzulösen. Zu groß waren die Unterschiede. Und so wurden Systeme, bei welchen Windows XP zum Einsatz kam einfach weiterhin mit XP betrieben. Dies gilt für allem für Steuerungs- oder Embedded-Systeme wie Steuerungen von Maschinen oder Anlagen, Geldautomaten, Steuerungen von Anzeigetafeln, Steuerungen bei der Energieerzeugung oder der Wasserversorgung … die Liste lässt sich schier endlos fortsetzen.

Widmen wir uns nun einmal der IT aus betriebswirtschaftlicher Sicht: Für eine Firma sind IT-Systeme Werkzeuge - also auch eine Art „Produktionsmittel“. IT Systeme lassen sich auch den Investitionsgütern zuordnen. In jedem Fall sind es „langlebige“ Güter, welche in aller Regel als Investition in eine Abschreibung fallen. Damit sind Systeme für mindestens drei Jahre, oft aber auch viel länger, im Einsatz. Anders ausgedrückt anhand eines Beispiels: „Solange mein 15 Jahre alter Staubsauger noch funktioniert, warum soll ich mir dann einen neuen kaufen?“ (Beim Auto sieht das schon etwas anders aus – es zählt eher zu den Prestigeobjekten).

Wirtschaftliche Gründe erhöhen Bedrohungspotential

Ziehen wir abschließend noch wirtschaftliche Situation der letzten Jahre in Betracht: die Krise von 2008 – hat vor allem Investitionen bei den genannten Produktionsmitteln, also auch im Bereich der IT verhindert.

Warum sollte eine Firma, wenn es wirtschaftlich gerade nicht so gut aussieht, ihre IT-Systeme erneuern, wenn diese noch ihren Dienst verrichten? So kam es schließlich dazu, dass sich die Einführung von Windows 7 oft um mehrere Jahre verzögert hat. Eine weltweite, flächendeckende Einführung beziehungsweise Umstellung auf Windows 7, vor allem im Bereich der Industrie, lässt sich erst ab etwa 2012 (teilweise sogar 2014) verzeichnen. Mitten im Jahr 2017 befinden sich viele Firmen also noch in der Abschreibungsphase von Windows 7. Und was ist mit XP? Was nicht unbedingt ersetzt werden musste, läuft heute immer noch.

Die Bereitschaft, in IT zu investieren, fällt in vielen Betrieben immer noch sehr verhalten aus. Die vielen Warnungen, Bitten und Angebote von Microsoft, doch endlich auf XP zu verzichten, verhallen dann ungehört. Auch bei den IT-Verantwortlichen? Mitnichten. Sie sind sich der Gefahr längst bewusst und würden gerne reagieren. Aber bei den betriebswirtschaftlichen Entscheidern in den Chef-Etagen kommt das Bewusstsein für Cyber-Risiken nur ganz langsam an. Dort ist oft die Bereitschaft (und die Einsicht) in eine neue Firewall oder den Virenschutz zu investieren viel größer als die Bereitschaft Geld für Betriebssystemlizenzen auszugeben. Die Strategie von Microsoft, die „Betriebssystem-Kuh“ weiterhin bis zum äußersten zu melken, fördert diese Bereitwilligkeit ebenfalls nicht. Wegen dieses Verfahrens kommt für die Erneuerung von nur wenigen alten Systemen sehr schnell ein stattlicher Investitionsbetrag zusammen.

Was macht die IT mit diesen alten XP oder auch Windows Server 2003 Systemen? Man könnte oder kann solche Systeme durchaus weiterhin betreiben. Man muss sie nur durch eine entsprechende Separierung einem dedizierten Bereich innerhalb des LANs zuweisen. Sind diese Systeme nicht mehr vom Internet aus erreichbar, oder kommunizieren sie nur eingeschränkt mit dem Internet, minimiert sich die Gefahr einer Infektion durch Schadsoftware drastisch. Auf diese Weise lässt sich die alte Messmaschine mit dem Windows XP Steuerrechner durchaus weiterhin betrieben. Der Datenaustausch erfolgt dann entsprechend über einen Relais-PC mit zwei Netzwerkkarten. Dasselbe gilt auch für alte Server-Systeme, die - aus welchen Gründen auch immer - weiterhin unter Windows 2003 Server betrieben werden müssen.

WannaCry wurde durch einen Zufall gestoppt: ein junger IT-Sicherheitsforscher hat eine nicht registrierte URL im Schadcode entdeckt. Er ließ diese URL zwischen dem 13. und 14. Mai registrieren. Nachdem die URL registriert war, hörte die Schadsoftware auf, Daten zu verschlüsseln. Er hatte sozusagen den „Notaus-Schalter“ für WannaCry gefunden. So endete am 15. Mai die weltweite Katastrophe tausender verschlüsselter Systeme. Einige trugen jedoch einen sichtbaren Schaden davon wie beispielsweise die Anzeigetafeln der Deutschen Bahn.

Fazit

Stellen wir uns die Frage danach, was sich seit dem ersten WannaCry-Ausbruch in den letzten Wochen geändert hat? Richtig: Betriebswirtschaftlich gesehen nichts. Investitionsanträge müssen erst gestellt werden, Gelder müssen freigemacht werden, die IT-Abteilungen leiden unter Personalabbau und sind vielfach chronisch überlastet. Wie soll hier schnell reagiert werden? In sehr vielen Firmen zählt „Patch-Management“ immer zu den Fremdworten. Sie reden sich mit Sätzen wie „bei unseren Systemen ist „automatische Updates“ eingestellt!“ heraus. Leider hilft dies bei Windows XP und Co. nicht mehr weiter.

„WannCry war in den Medien … aber passiert ist doch nichts, oder?“ – so oder so ähnlich lautet die Denkweise innerhalb der oft wenig IT-affinen Chefetagen. Und so laufen sie weiter, die alten Systeme, Ungepatched und unbehelligt – selbstverständlich mit Internetanschluss – muss ja modern sein das Ganze. Allerdings werden die Cyberkriminellen höchstwahrscheinlich dazugelernt haben. Wer auch immer für WannaCry verantwortlich gewesen sein mag - die nächste Ransomware, welche auf EternalBlue oder anderen von der NSA oder wem auch immer gefunden Exploits beruht, wird keine „Notbremse“ besitzen.

Das Bewusstsein hinsichtlich Cyber-Sicherheit als Investitionsgut und Produktionsfaktor hat die Führungsebenen noch lange nicht erreicht. Bis es dazu kommt und die letzten XP Systeme aus den IT-Landschaften verschwinden, werden wohl noch einige erfolgreiche Cyber-Attacken stattfinden müssen. Eine davon hat sich bereits ereignet. Die aktuellsten Entwicklungen der Cyber-Attacke mit der „WannaCry“ Variante „Peyta“ zeigen leider widerholt sehr deutlich die im Bericht aufgezeigten Sachverhalte. Der durch „Peyta“ bislang verursachte Schaden dürfte bereits in die Millionen gehen. Offenbar hinken viele Unternehmen mit den notwendigen, zu treffenden Abwehr-Maßnahmen weiterhin hinterher.

Über den Autor: Günter Aigle ist Geschäftsführer von Aigle Computing und Mitglied des (ISC)² Chapter Germany.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44775328 / Security Best Practices)