:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Informationssicherheit im Mittelstand WannaCry – Anatomie eines (erfolgreichen) Angriffs
WannaCry hat rund um den Globus die Alarmglocken zum Läuten gebracht, für Chaos gesorgt und es bis in die Abendnachrichten geschafft. Die spannende Frage dabei ist, warum der Angriff besonders im Mittelstand so erfolgreich sein konnte und ob es Aussicht auf Besserung gibt. Besonders im Fokus stehen altgediente aber immer noch aktive Windows XP-Installationen, die auch nach Ablauf des Supports nicht erneuert wurden.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Vor genau zwei Monaten, am Freitag, den 12. Mai 2017 läuteten weltweit die Alarmglocken der Cybersecurity-Abteilungen: Es kam zu einer der bislang größten, bekannten Ransomware-Attacken. Mit über 230.000 infizierten Geräten in über 150 Ländern weckte dieser Angriff sogar das Interesse internationaler Organisationen wie Europol. Man sprach von einem Angriff „nie dagewesenen Ausmaßes“. Betroffen waren zunächst ausschließlich ältere Windows-Systeme: Windows XP und Windows Server 2003 standen im Fokus der Attacke. Ein pikantes Detail dabei: die Schadsoftware nutzte offenbar eine Sicherheitslücke im SMB-Protokoll von Microsoft. Die Lücke ist auch unter dem Namen „EternalBlue“ bekannt und wurde von der amerikanischen NSA mehr als fünf Jahre lang für eigene Zwecke ausgenutzt, ohne Microsoft entsprechend zu informieren. Noch pikanter wird es, wenn man weiß, dass es bei der NSA einen Sicherheitsvorfall gab. In dessen Zusammenhang erfuhr eine Hackergruppe namens „Shadow Brokers“ am 14. April 2017 von „EternalBlue“ und veröffentlichte die Schwachstelle. Somit beruht also WannaCry auf einem von der NSA seit Jahren verwendeten Exploit.
Als bezeichnend entpuppte sich dann die Reaktion von Microsoft, als am 12. Mai die ersten Infektionen von WannaCry gemeldet wurden. Innerhalb nur eines Tages, am Samstag den 13. Mai, veröffentlichte Microsoft einen „emergency security”-Patch für die bislang nicht (mehr) unterstützten Systeme Windows XP, Windows Server 2003 und Windows 8. Wann ließ sich jemals zuvor eine so schnelle Reaktion seitens Microsoft beobachten? Und dann auch noch für Systeme, welche teilweise bereits seit Jahren „end of life“ sind?
Überall waren alte Systeme verantwortlich
Für die Systeme, welche noch nicht „end of life“ waren, hatte Microsoft bereits am 14. März 2017 einen entsprechenden Patch ausgeliert und die Sicherheitslücke „EternalBlue“ damit geschlossen. Somit waren alle ordentlich gepatchten Windows 7 (und höher) und Windows Server 2008 (und höher) per se einmal nicht gefährdet.
Worin liegen also die Gründe für die erfolgreiche Ausbreitung von WannaCry? Und warum ist die Gefahr noch lange nicht gebannt? Werfen wir dazu einem einen Blick in die IT-Abteilungen der Firmen und schauen uns die durchschnittliche EDV-Landschaft etwas genauer an.
Im Frühjahr 2001 kam nach einigen „Startschwierigkeiten“ endlich das neue Betriebssystem von Microsoft auf den Markt. Es trug den Namen Windows XP. Nach vielen nicht so erfolgreichen Versuchen von Windows NT 4.0 bis zu Windows 2000 war es das erste, wirklich verlässliche und stabile Betriebssystem von Microsoft und wurde im privaten Bereich wie in der Industrie gleichermaßen gerne aufgenommen. Der Nachfolger von XP, Windows Vista, erwies sich gewissermaßen als „Rohrkrepierer“. Das System war kompliziert und vor allem instabil. Auch in den Firmen konnte es Administratoren nicht begeistern, da die Automatismen von Vista zu viel „allein“ machen wollten und somit die Kontrolle über die Systeme stückweise verloren ging. Erst mit Windows 7 im Herbst des Jahres 2009 gelang Microsoft wieder ein „großer Wurf“. Es dauerte dann - wie bei Microsoft üblich - aber noch zwischen einem und drei Jahren, bis vor allem in der Industrie Windows 7 flächendeckend ausgerollt wurde. Und auch Windows 7 schaffte es in vielen Bereichen nicht, das gute alte Windows XP abzulösen. Zu groß waren die Unterschiede. Und so wurden Systeme, bei welchen Windows XP zum Einsatz kam einfach weiterhin mit XP betrieben. Dies gilt für allem für Steuerungs- oder Embedded-Systeme wie Steuerungen von Maschinen oder Anlagen, Geldautomaten, Steuerungen von Anzeigetafeln, Steuerungen bei der Energieerzeugung oder der Wasserversorgung … die Liste lässt sich schier endlos fortsetzen.
Widmen wir uns nun einmal der IT aus betriebswirtschaftlicher Sicht: Für eine Firma sind IT-Systeme Werkzeuge - also auch eine Art „Produktionsmittel“. IT Systeme lassen sich auch den Investitionsgütern zuordnen. In jedem Fall sind es „langlebige“ Güter, welche in aller Regel als Investition in eine Abschreibung fallen. Damit sind Systeme für mindestens drei Jahre, oft aber auch viel länger, im Einsatz. Anders ausgedrückt anhand eines Beispiels: „Solange mein 15 Jahre alter Staubsauger noch funktioniert, warum soll ich mir dann einen neuen kaufen?“ (Beim Auto sieht das schon etwas anders aus – es zählt eher zu den Prestigeobjekten).
Wirtschaftliche Gründe erhöhen Bedrohungspotential
Ziehen wir abschließend noch wirtschaftliche Situation der letzten Jahre in Betracht: die Krise von 2008 – hat vor allem Investitionen bei den genannten Produktionsmitteln, also auch im Bereich der IT verhindert.
Warum sollte eine Firma, wenn es wirtschaftlich gerade nicht so gut aussieht, ihre IT-Systeme erneuern, wenn diese noch ihren Dienst verrichten? So kam es schließlich dazu, dass sich die Einführung von Windows 7 oft um mehrere Jahre verzögert hat. Eine weltweite, flächendeckende Einführung beziehungsweise Umstellung auf Windows 7, vor allem im Bereich der Industrie, lässt sich erst ab etwa 2012 (teilweise sogar 2014) verzeichnen. Mitten im Jahr 2017 befinden sich viele Firmen also noch in der Abschreibungsphase von Windows 7. Und was ist mit XP? Was nicht unbedingt ersetzt werden musste, läuft heute immer noch.
Die Bereitschaft, in IT zu investieren, fällt in vielen Betrieben immer noch sehr verhalten aus. Die vielen Warnungen, Bitten und Angebote von Microsoft, doch endlich auf XP zu verzichten, verhallen dann ungehört. Auch bei den IT-Verantwortlichen? Mitnichten. Sie sind sich der Gefahr längst bewusst und würden gerne reagieren. Aber bei den betriebswirtschaftlichen Entscheidern in den Chef-Etagen kommt das Bewusstsein für Cyber-Risiken nur ganz langsam an. Dort ist oft die Bereitschaft (und die Einsicht) in eine neue Firewall oder den Virenschutz zu investieren viel größer als die Bereitschaft Geld für Betriebssystemlizenzen auszugeben. Die Strategie von Microsoft, die „Betriebssystem-Kuh“ weiterhin bis zum äußersten zu melken, fördert diese Bereitwilligkeit ebenfalls nicht. Wegen dieses Verfahrens kommt für die Erneuerung von nur wenigen alten Systemen sehr schnell ein stattlicher Investitionsbetrag zusammen.
Was macht die IT mit diesen alten XP oder auch Windows Server 2003 Systemen? Man könnte oder kann solche Systeme durchaus weiterhin betreiben. Man muss sie nur durch eine entsprechende Separierung einem dedizierten Bereich innerhalb des LANs zuweisen. Sind diese Systeme nicht mehr vom Internet aus erreichbar, oder kommunizieren sie nur eingeschränkt mit dem Internet, minimiert sich die Gefahr einer Infektion durch Schadsoftware drastisch. Auf diese Weise lässt sich die alte Messmaschine mit dem Windows XP Steuerrechner durchaus weiterhin betrieben. Der Datenaustausch erfolgt dann entsprechend über einen Relais-PC mit zwei Netzwerkkarten. Dasselbe gilt auch für alte Server-Systeme, die - aus welchen Gründen auch immer - weiterhin unter Windows 2003 Server betrieben werden müssen.
WannaCry wurde durch einen Zufall gestoppt: ein junger IT-Sicherheitsforscher hat eine nicht registrierte URL im Schadcode entdeckt. Er ließ diese URL zwischen dem 13. und 14. Mai registrieren. Nachdem die URL registriert war, hörte die Schadsoftware auf, Daten zu verschlüsseln. Er hatte sozusagen den „Notaus-Schalter“ für WannaCry gefunden. So endete am 15. Mai die weltweite Katastrophe tausender verschlüsselter Systeme. Einige trugen jedoch einen sichtbaren Schaden davon wie beispielsweise die Anzeigetafeln der Deutschen Bahn.
Fazit
Stellen wir uns die Frage danach, was sich seit dem ersten WannaCry-Ausbruch in den letzten Wochen geändert hat? Richtig: Betriebswirtschaftlich gesehen nichts. Investitionsanträge müssen erst gestellt werden, Gelder müssen freigemacht werden, die IT-Abteilungen leiden unter Personalabbau und sind vielfach chronisch überlastet. Wie soll hier schnell reagiert werden? In sehr vielen Firmen zählt „Patch-Management“ immer zu den Fremdworten. Sie reden sich mit Sätzen wie „bei unseren Systemen ist „automatische Updates“ eingestellt!“ heraus. Leider hilft dies bei Windows XP und Co. nicht mehr weiter.
„WannCry war in den Medien … aber passiert ist doch nichts, oder?“ – so oder so ähnlich lautet die Denkweise innerhalb der oft wenig IT-affinen Chefetagen. Und so laufen sie weiter, die alten Systeme, Ungepatched und unbehelligt – selbstverständlich mit Internetanschluss – muss ja modern sein das Ganze. Allerdings werden die Cyberkriminellen höchstwahrscheinlich dazugelernt haben. Wer auch immer für WannaCry verantwortlich gewesen sein mag - die nächste Ransomware, welche auf EternalBlue oder anderen von der NSA oder wem auch immer gefunden Exploits beruht, wird keine „Notbremse“ besitzen.
Das Bewusstsein hinsichtlich Cyber-Sicherheit als Investitionsgut und Produktionsfaktor hat die Führungsebenen noch lange nicht erreicht. Bis es dazu kommt und die letzten XP Systeme aus den IT-Landschaften verschwinden, werden wohl noch einige erfolgreiche Cyber-Attacken stattfinden müssen. Eine davon hat sich bereits ereignet. Die aktuellsten Entwicklungen der Cyber-Attacke mit der „WannaCry“ Variante „Peyta“ zeigen leider widerholt sehr deutlich die im Bericht aufgezeigten Sachverhalte. Der durch „Peyta“ bislang verursachte Schaden dürfte bereits in die Millionen gehen. Offenbar hinken viele Unternehmen mit den notwendigen, zu treffenden Abwehr-Maßnahmen weiterhin hinterher.
Über den Autor: Günter Aigle ist Geschäftsführer von Aigle Computing und Mitglied des (ISC)² Chapter Germany.
(ID:44775328)
:quality(80)/p7i.vogel.de/wcms/6d/d2/6dd258644e5751e7d8dd1d257035e423/0102800821.jpeg "Als Cyberkriminelle die größte US-Benzin-Pipeline ‚Colonial‘ angriffen, drangen sie per Ransomware in die IT ein, schafften es aber, die gesamte OT und damit die Benzinversorgung an der Ostküste lahmzulegen. (Bild: gemeinfrei // Pexels)")
:quality(80)/p7i.vogel.de/wcms/9f/32/9f3282766eaafa1b24ad4dff3c0c8f14/0106139386.jpeg "In allen Bereichen nimmt der Grad der Digitalisierung zu. Insbesondere in produzierenden Unternehmen rückt dabei zunehmend die Digitalisierung der Produktionsprozesse in den Fokus. (Bild: Gorodenkoff - stock.adobe.com)")