- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Remote-Boot: So viel an Daten retten wie möglich


Was die bedrohliche Ransomware-Kampagne Petya lehrt
Nicht zahlen, sondern investieren – und trainieren

- Anzeigen -





Eine neue Variante der Ransomware Petya sorgt weltweit für Verunsicherung. Wie Betroffene richtig reagieren und wie sich Unternehmen auf Angriffe auf ihre Systeme vorbereiten können, erklärt Experte Ben Kröger, Leitung Professional Service, Axians IT Security, in einem Statement.

"Nicht zahlen!" Das forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich, als sich Mitte Mai der Verschlüsselungstrojaner WannaCry verbreitete und weltweit Lösegeld von Unternehmen und Organisationen erpresste. Nun also wieder die Warnung von der Behörde und vielen IT-Sicherheitsexperten, nicht das Geschäftsmodell der Cyberkriminellen zu bedienen: Die neue Ransomware-Kampagne Petya dreht ihre Runde, legt ganze Netzwerke von Unternehmen und Behörden lahm.

Die Infizierung erfolgt anscheinend über drei Wege: So dienten an E-Mails angehängte rft-Dokumente als Vektoren, die beim Anklicken schädliche Komponenten nachladen. Diese greifen dann den Client an. In Frage kommt auch eine Schwachstelle in der Buchungssoftware MeDoc. Wie WannaCry macht Petya sich außerdem den Schadcode "Eternal Blue" zunutze, um über eine Windows-Lücke einzudringen. Der Unterschied zwischen den beiden Trojanern: Petya verschlüsselt keine Dateien, sondern einige Sektoren auf der Festplatte und löst einen Neustart aus. Anstelle eines Systemstarts erscheint jedoch eine gefälschte Fehlermeldung mit Zahlungsaufforderung. Die Ransomware sucht Lücken in den Firewalls, verbreitet sich weiter und legt so das Netzwerk lahm.

Schon kurz nach der Attacke sperrte zum Beispiel ein deutscher E-Mail-Provider das betreffende Account, sodass Opfern die Möglichkeit verwehrt war, das Lösegeld zu bezahlen. Ob es geholfen hätte, auf die Forderungen der Cyberkriminellen einzugehen, ist fraglich. Einen Versuch wert ist hingegen ein Remote-Boot, um so viel an Daten zu retten wie möglich. Dafür müssen Unternehmen die goldene Regel der IT-Security befolgen: Backup, Backup, Backup.

Im Ernstfall muss der User und die IT-Abteilung in der Lage ihr, Daten aus dem Backup einzuspielen – und Systeme wieder herzustellen Zuvor muss die IT-Abteilung jedoch infizierte und nicht infizierte Geräte trennen. Alle sauberen Geräte gehören in ein neues Netz. Danach wird sukzessive gesäubert und der Restore-Prozess angestoßen. Fehler dürfen in dieser Situation nicht passieren – auch wenn die IT-Mitarbeiter unter Höchstlast sind, weil sie gleichzeitig den Nutzer-Support zu leisten haben. Deshalb gilt: Ein Backup ist nur so gut wie der Testlauf für den Restore.

Die notwendige Konsequenz: Ein IT-Team muss wie die Feuerwehr üben, damit im Ernstfall jeder Handgriff sitzt. Um professionelle Angreifer abzuwehren oder die Attacke einzudämmen, brauchen die IT-Fachleute außerdem Werkzeuge an die Hand, die auf dem neuesten Stand sind. Für die Bekämpfung einer Verbreitung innerhalb des eigenen Netzwerks haben sich beispielsweise Intrusion-Prevention-Systeme (IPS) bewährt. Mit ihnen lassen sich nach einem Alarm der Datenstrom umleiten, Firewalls zwischen und in Netzwerken hochziehen, Sicherheitsrichtlinien zwischen den einzelnen Netzwerk-Segmenten etablieren und die Client-Server-Verbindung durchtrennen.

Neben regelmäßigen Sicherheitsupdates sind Lösungen wie IPS, Sandboxing und zuverlässige Backup- und Restore-Systeme zwingend notwendig. Wer nicht über sie verfügt, sollte investieren – und das nicht nur einmalig. Jeder Verantwortliche sollte sich bewusst machen: Sicherheit ist ein Prozess. Cyberkriminelle reagieren auf das Nutzerverhalten, und je größer eine Nutzergruppe wird, umso mehr macht sie sich als Ziel interessant. Deshalb werden neben Microsoft-Anwendern zunehmend auch Nutzer des Betriebssystems Android ins Visier von Cyberkriminellen geraten.

Lücken, Schwachstellen und Angriffe wird es immer wieder geben. Doch die gute Nachricht: Bisher folgte auf jede Bedrohung eine Abwehrreaktion der betreffenden Anbieter und Provider. Unternehmen und Behörden müssen zudem selbst bereit ihr, kontinuierlich in Schutzmaßnahmen zu investieren – sowohl in Technologie als auch in Maßnahmen zur Erhöhung des Sicherheitsbewusstseins ihrer Mitarbeiter. Diese Lehren müssen aus dem Fall Petya gezogen werden. Denn: If you think security is expensive, try no security!
(Axians IT Security: ra)

eingetragen: 10.07.17
Home & Newsletterlauf: 08.08.17


Axians IT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Kommentare und Meinungen

  • Anzahl der Cyber-Vorfälle steigt gewaltig

    Von der Wirtschaftsprüfungsgesellschaft RSM erhobene Zahlen haben ergeben, dass Finanzdienstleistungsunternehmen der Financial Conduct Authority (FCA) im Jahr 2018 819 Cyber-Vorfälle gemeldet haben, ein Anstieg gegenüber den 69 im Jahr 2017 gemeldeten Vorfällen. Nach Ansicht von RSM könnten die Zahlen aufgrund der hohen Unterberichterstattung weitaus höher sein. Ross Brewer, VP & MD EMEA, LogRhythm hat den folgenden Kommentar abgegeben: "Während es einfach ist, sich in diesem Bericht auf die Anzahl der Cyber-Vorfälle zu konzentrieren, sollte die Aufmerksamkeit von Sicherheits- und Finanzdienstleistern auf die Hauptursache gelenkt werden. Über ein Fünftel der Vorfälle wird durch einen Ausfall Dritter verursacht, d. h. es besteht eine Schwäche in der Lieferkette.

  • Sicherheitsanforderungen an 5G-Netzausrüster

    In der Diskussion um Sicherheitsanforderungen an Mobilfunknetzausrüster stellt sich der Digitalverband Bitkom gegen nationale Alleingänge. Jegliche Regulierung von Anbietern von Netztechnologie sollte aus Bitkom-Sicht vielmehr EU-weit einheitlich sein. "Ein regulatorischer Flickenteppich würde den 5G-Aufbau verzögern und ein nationaler Alleingang würde Deutschland zurückwerfen", sagt Bitkom-Präsident Achim Berg. Derzeit plant die Bundesnetzagentur, den Katalog an Sicherheitsanforderungen für Telekommunikationsnetze zu erweitern. Berg: "Wir begrüßen, dass kritische Kernkomponenten nur eingesetzt werden dürfen, wenn sie von einer anerkannten Prüfstelle getestet und vom Bundesamt für Sicherheit in der IT zertifiziert wurden. Damit das in der Praxis aber auch funktioniert, müssen die bislang formulierten Eckpunkte der Bundesnetzagentur umgehend präzisiert werden."

  • Die IT-Branche gilt als vermeintliche Männerdomäne

    Angesichts des Fachkräftemangels in der IT beginnt der Markt zu reagieren und sich zu organisieren. Es handelt sich dabei jedoch zumeist noch um vereinzelte Initiativen, die in großem Umfang schwer umzusetzen sind. Diese Entwicklung ist für unsere Gesellschaft und speziell für Unternehmen eine große Herausforderung: Wie identifizieren und gewinnen Unternehmen heute und zukünftig geeignete Bewerber? Obwohl die Digitalisierung unser Leben grundlegend verändert hat und digitale Technologien zunehmend unseren Alltag bestimmen, wissen wir doch nur sehr wenig über digitale Berufe. Dies gilt nicht nur für Schüler, sondern auch für Eltern, einige Lehrer und sogar Berufsberater. Das Image des "Computer-Nerds" ist fest in unserer Gesellschaft verankert und lässt sich nur schwer abschütteln.

  • Manipulation von DNS-Einträgen

    FireEye beobachtet derzeit mehrere Aktivitäten, die für die Manipulation von DNS-Einträgen verantwortlich sind. Auf einige dieser Aktivitäten haben wir bereits in unserem Blog-Beitrag vom 9. Januar 2019 hingewiesen: Wir gehen davon aus, dass ein kleiner Teil dieser Aktivitäten vermutlich von einem iranischen Akteur durchgeführt wird. Dabei nutzt der Akteur Malware, die wir bei FireEye TWOTONE nennen - bei TALOS DNSpionage genannt. Wir vermuten jedoch, dass andere Akteure - und eventuell andere Staaten - hinter weiteren Bedrohungen durch DNS-Manipulation stehen, die nicht in diesem Zusammenhang stehen. Einige dieser Aktivitäten haben wir bereits im Januar 2019 auf unserem Blog vorgestellt. Wir glauben, dass diese Aktivität die Verwendung gestohlener EPP-Anmeldeinformationen beinhaltete und wahrscheinlich staatlich finanziert wurde. EPP ist ein zugrundeliegendes Protokoll, das zur Verwaltung von DNS-Systemen verwendet wird.

  • Komplexität eines Seitenkanalangriffs

    Mit Spectre wütet seit Jahren eine Sicherheitslücke, die Intel- und AMD-Prozessoren verwundbar gemacht hat. Nun möchte sich Suchmaschinenriese Google zusammen mit einem Expertenteam dem Problem annehmen. IT-Sicherheitsexperte Christian Heutger begrüßt diesen Schritt: "Googles Vorstöße im Kampf gegen die Sicherheitslücke Spectre sind sehr zu begrüßen. Die Komplexität eines Seitenkanalangriffs, wie Spectre, sorgt allerdings dafür, dass dieser Kampf lange dauern wird. Ich vermute, dass noch einige Zeit ins Land gehen, bis die Gefahr, die von der Sicherheitslücke Spectre ausgeht, vollständig gebannt sein wird. Aber Google und sein LLVM-Team gehen einen entsprechenden guten Weg", so der Geschäftsführer der PSW Group.