- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Remote-Boot: So viel an Daten retten wie möglich


Was die bedrohliche Ransomware-Kampagne Petya lehrt
Nicht zahlen, sondern investieren – und trainieren

- Anzeigen -





Eine neue Variante der Ransomware Petya sorgt weltweit für Verunsicherung. Wie Betroffene richtig reagieren und wie sich Unternehmen auf Angriffe auf ihre Systeme vorbereiten können, erklärt Experte Ben Kröger, Leitung Professional Service, Axians IT Security, in einem Statement.

"Nicht zahlen!" Das forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich, als sich Mitte Mai der Verschlüsselungstrojaner WannaCry verbreitete und weltweit Lösegeld von Unternehmen und Organisationen erpresste. Nun also wieder die Warnung von der Behörde und vielen IT-Sicherheitsexperten, nicht das Geschäftsmodell der Cyberkriminellen zu bedienen: Die neue Ransomware-Kampagne Petya dreht ihre Runde, legt ganze Netzwerke von Unternehmen und Behörden lahm.

Die Infizierung erfolgt anscheinend über drei Wege: So dienten an E-Mails angehängte rft-Dokumente als Vektoren, die beim Anklicken schädliche Komponenten nachladen. Diese greifen dann den Client an. In Frage kommt auch eine Schwachstelle in der Buchungssoftware MeDoc. Wie WannaCry macht Petya sich außerdem den Schadcode "Eternal Blue" zunutze, um über eine Windows-Lücke einzudringen. Der Unterschied zwischen den beiden Trojanern: Petya verschlüsselt keine Dateien, sondern einige Sektoren auf der Festplatte und löst einen Neustart aus. Anstelle eines Systemstarts erscheint jedoch eine gefälschte Fehlermeldung mit Zahlungsaufforderung. Die Ransomware sucht Lücken in den Firewalls, verbreitet sich weiter und legt so das Netzwerk lahm.

Schon kurz nach der Attacke sperrte zum Beispiel ein deutscher E-Mail-Provider das betreffende Account, sodass Opfern die Möglichkeit verwehrt war, das Lösegeld zu bezahlen. Ob es geholfen hätte, auf die Forderungen der Cyberkriminellen einzugehen, ist fraglich. Einen Versuch wert ist hingegen ein Remote-Boot, um so viel an Daten zu retten wie möglich. Dafür müssen Unternehmen die goldene Regel der IT-Security befolgen: Backup, Backup, Backup.

Im Ernstfall muss der User und die IT-Abteilung in der Lage ihr, Daten aus dem Backup einzuspielen – und Systeme wieder herzustellen Zuvor muss die IT-Abteilung jedoch infizierte und nicht infizierte Geräte trennen. Alle sauberen Geräte gehören in ein neues Netz. Danach wird sukzessive gesäubert und der Restore-Prozess angestoßen. Fehler dürfen in dieser Situation nicht passieren – auch wenn die IT-Mitarbeiter unter Höchstlast sind, weil sie gleichzeitig den Nutzer-Support zu leisten haben. Deshalb gilt: Ein Backup ist nur so gut wie der Testlauf für den Restore.

Die notwendige Konsequenz: Ein IT-Team muss wie die Feuerwehr üben, damit im Ernstfall jeder Handgriff sitzt. Um professionelle Angreifer abzuwehren oder die Attacke einzudämmen, brauchen die IT-Fachleute außerdem Werkzeuge an die Hand, die auf dem neuesten Stand sind. Für die Bekämpfung einer Verbreitung innerhalb des eigenen Netzwerks haben sich beispielsweise Intrusion-Prevention-Systeme (IPS) bewährt. Mit ihnen lassen sich nach einem Alarm der Datenstrom umleiten, Firewalls zwischen und in Netzwerken hochziehen, Sicherheitsrichtlinien zwischen den einzelnen Netzwerk-Segmenten etablieren und die Client-Server-Verbindung durchtrennen.

Neben regelmäßigen Sicherheitsupdates sind Lösungen wie IPS, Sandboxing und zuverlässige Backup- und Restore-Systeme zwingend notwendig. Wer nicht über sie verfügt, sollte investieren – und das nicht nur einmalig. Jeder Verantwortliche sollte sich bewusst machen: Sicherheit ist ein Prozess. Cyberkriminelle reagieren auf das Nutzerverhalten, und je größer eine Nutzergruppe wird, umso mehr macht sie sich als Ziel interessant. Deshalb werden neben Microsoft-Anwendern zunehmend auch Nutzer des Betriebssystems Android ins Visier von Cyberkriminellen geraten.

Lücken, Schwachstellen und Angriffe wird es immer wieder geben. Doch die gute Nachricht: Bisher folgte auf jede Bedrohung eine Abwehrreaktion der betreffenden Anbieter und Provider. Unternehmen und Behörden müssen zudem selbst bereit ihr, kontinuierlich in Schutzmaßnahmen zu investieren – sowohl in Technologie als auch in Maßnahmen zur Erhöhung des Sicherheitsbewusstseins ihrer Mitarbeiter. Diese Lehren müssen aus dem Fall Petya gezogen werden. Denn: If you think security is expensive, try no security!
(Axians IT Security: ra)

eingetragen: 10.07.17
Home & Newsletterlauf: 08.08.17


Axians IT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Sicherheitslücken in vielen Android-Smartphones

    Das Oberlandesgericht in Köln hat eine Klage von Verbraucherschützern zurückgewiesen. Inhalt: Elektronikmärkte verkaufen bewusst veraltete und unsichere Android-Smartphones, ohne Kunden auf die Risiken hinzuweisen. Das dürfen sie auch weiter tun. Die Klage vom Juli 2017 weckte Hoffnungen bei vielen Sicherheitsexperten, die schon lange vor Sicherheitslücken in vielen Android-Smartphones warnen. Diese werden nämlich nicht mehr behoben und stellen deshalb ein Risiko für die persönlichen Daten von Nutzern dar. Verbraucherschützer wollten in einem Gerichtsurteil erwirken, dass Geräte mit einer veralteten Android-Version nur noch mit einem entsprechenden Hinweis verkauft werden dürfen, da sie gut dokumentierte und nicht behebbare Mängel bei der Sicherheit aufwiesen.

  • Gezielte Angriffe sowie wahlloser Ransomware

    Die Flughafenbranche ist ein äußerst lukratives Ziel für Advanced Persistent Threats (APT). Diese komplexen, zielgerichteten und effektiven Angriffe auf kritische IT-Infrastrukturen und vertrauliche Daten fokussieren sich auf Fluglinien und Flughäfen, da sie über eine Fülle von Informationen zu Personen, Logistik, Unternehmen und geistigem Eigentum verfügen. Laut Netscout bleibt dieses Targeting weiterhin stark bestehen und wird auch staatlich gefördert, um über kritische Daten anderer Nationen informiert zu sein.

  • Kampf gegen Cyberkriminalität

    Der Grundtenor des neuen BSI-Lageberichts ähnelt dem des letzten Jahres: So ist die Qualität der Cyber-Angriffe weiter gestiegen und die Bedrohungslage in Deutschland anhaltend hoch. 300.000 bis 400.000 neue Schadprogramme täglich und die Tatsache, dass Cyberkriminelle immer häufiger Techniken nutzen, die bisher nur von staatlichen Geheimdiensten und bei Advanced Persistent Threats (APTs) eingesetzt werden, verlangen den Sicherheitsverantwortlichen viel ab. Auch wenn der Sturm noch so wüten mag, so muss man sich immer wieder bewusst machen, dass der Kampf gegen Cyberkriminalität kein aussichtsloser ist. Denn wie BSI-Präsident Arne Schönbaum richtig sagte, können auch hochentwickelte "Cyber-Angriffe erfolgreich abgewehrt werden, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden.

  • Datenschutz und Privatsphäre

    Sicherheitsforscher haben jüngst herausgefunden, dass auf rund 15.000 private Webcams weltweit praktisch jeder zugreifen kann, der über eine Internetverbindung verfügt. Das wirft über den aktuellen Fall hinaus Fragen hinsichtlich von Datenschutz und Privatsphäre auf. White-Hat-Hacker Avishai Efrat, der für Wizcase arbeitet, hat die gefährdeten Geräte identifiziert. Nach derzeitigem Kenntnisstand handelt es sich um Kameras, die sowohl von Privatanwendern genutzt werden als auch im Firmenumfeld. Betroffen sind Nutzer in Europa, Amerika und Asien.

  • Gefahr durch Ransomware "GermanWiper"

    Die Ransomware "GermanWiper" wird zurzeit vor allem in Deutschland verbreitet und birgt große Gefahren für KMU. Nachfolgend ein Kommentar zu dem Thema von Markus Rex, IT-Experte und Country Manager DACH des IT-Unternehmens Datto. "Emotet, Trickbot, Ryuk, Anatova, GrandCrab etc.: Die Liste der Cyber-Angriffe auf Unternehmen im Jahr 2019 unterstreicht besorgniserregend, dass im Hinblick auf die IT-Sicherheit von KMU keinerlei Entspannung in Sicht ist. Das belegt auch eine Umfrage von Datto unter 300 Managed Service Providern in Europa: 92 Prozent der IT-Dienstleister erwarten, dass sich die Anzahl der Angriffe auf Unternehmen auf gleich hohem oder höherem Niveau fortsetzen wird."