- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Sicherheitslücke des Windows XP-Betriebssystems


Nehmen Unternehmen und Organisationen das Thema Cyberkriminalität überhaupt richtig ernst?
WannaCry – Status Quo, Hintergrund und wie Sie sich schützen können



BullGuard hat die Hintergründe zum Angriff, die Spekulationen um den Ursprung sowie das Ausmaß von WannaCry zusammengefasst und gibt Nutzern Tipps, wie sie sich vor Ransomware-Angriffen dieser Art schützen können.

Wie funktioniert WannaCry?
WannaCry ist eine Erpresser-Malware, eine sogenannte Ransomware. Diese Art von Malware erpresst Geld der Opfer, indem sie Dateien oder ganze Rechner und Systeme verschlüsselt und diese angeblich nach Bezahlung eines bestimmten Geldbetrags wieder freigibt. Im Falle von WannaCry wurden Lösegelder zwischen 300 und 600 EUR verlangt.

Normalerweise befällt Ransomware nur den Computer, der angegriffen wurde. Nicht so bei WannaCry: Die Attacke beinhaltet eine zusätzliche Komponente, die dafür sorgt, dass das Schadprogramm sich ähnlich wie ein Computerwurm schnell weiterverbreitet.

Die Angreifer haben wohl Hunderttausende E-Mails mit infizierten Anhängen versendet. E-Mails, die sich als Rechnungen, Bewerbungen, Sicherheitswarnungen oder Rezepte tarnen. Öffnet ein argloser Nutzer den Anhang, wird die Ransomware automatisch heruntergeladen.

WannaCry nutzt dabei eine Sicherheitslücke im Windows XP Betriebssystem von Microsoft aus.

Eine Organisation namens "Equation Group" hat vermutlich ein entsprechendes Werkzeug entwickelt, mit dessen Hilfe diese Lücke ausgenutzt werden kann – das Tool läuft unter der Bezeichnung "EternalBlue". Interessanterweise unterhält die "Equation Group" wohl enge Verbindungen zur NSA (National Security Agency) in den USA, sodass vermutet wird, dass EternalBlue für die NSA entwickelt wurde. Regierungen zahlen Hackern hohe Preise für die Identifikation von Sicherheitslücken, die sie zu ihrem Vorteil nutzen können, beispielsweise um andere Länder auszuspionieren.

Im Fall von WannaCry ist dieser Schuss jedoch nach hinten losgegangen: Die Kenntnis über die Sicherheitslücke erreichte auch eine Hacker-Gruppe namens Shadow Brokers, die Details dazu online veröffentlicht und damit für jeden zugänglich gemacht hat.

Wer ist betroffen?
WannaCry nutzt eine Sicherheitslücke des Windows XP-Betriebssystems von Microsoft aus, welches nicht mehr durch Updates unterstützt und geschützt wird. Die Anzahl der befallenen Systeme stieg über das Wochenende von 45.000 auf über 200.000 an.

Neben der Deutschen Bahn hierzulande waren zum Beispiel Renault-Fabriken in Frankreich, Telefónica in Spanien oder Russlands zweitgrößter Mobilfunkanbieter MegaFon betroffen. Auch zehntausende chinesische Unternehmen, Institutionen und Universitäten zählten zu den attackierten Systemen. Besonders deutlich wurden die Auswirkungen beim National Health Service (NHS) in Großbritannien: Operationen mussten abgebrochen werden. Röntgengeräte, Testergebnisse und Patientenakten waren nicht verfügbar und Telefone funktionierten nicht. Nach einer vorausgegangen Regierungsentscheidung war es für den NHS zu teuer, den Support-Vertrag mit Microsoft zu verlängern, daher war das veraltete Betriebssystem auf Kosten der Sicherheit weiter eingesetzt worden.

Woher kommt WannaCry?
Noch ist nicht bekannt, wer wirklich hinter dem WannaCry-Angriff steht. Allein die Tatsache, dass es sich um eine Ransomware-Attacke handelt, lässt jedoch auf eine kleinere Gruppe von Hackern schließen, die mit relativ geringem Risiko eine hohe Summe Geld erbeuten wollte. Laut FBI konnten Cyber-Kriminelle allein durch Ransomware im vergangenen Jahr 2016 rund 1 Mrd. US-Dollar erbeuten.

In der jüngsten Vergangenheit haben Hacker häufiger Ransomware-Angriffe gestartet, die konkrete Anweisungen beinhalteten, keine russischen oder ukrainischen Nutzer oder Unternehmen zu attackieren. Diese Angriffe hatten ihren Ursprung in Russland oder der Ukraine, sodass die Täter in dieser Region vermutet wurden. WannaCry hingegen traf auch Russland, es war sogar eines der am schwersten angegriffenen Länder. Neben Banken und anderen Organisationen wurden zum Beispiel auch über 1.000 Computer im russischen Innenministerium infiziert.

Gleichzeitig werden aktuell Spuren verfolgt, die auf Nordkorea hinweisen. Es wurden Ähnlichkeiten in der Code-Struktur von WannaCry zu früherer Malware aus Nordkorea gefunden.

Letztlich sind all dies jedoch zurzeit nur Spekulationen. Sie zeigen, wie schwierig es ist, die tatsächliche Quelle eines Cyber-Angriffs zu ermitteln.

Was sagt uns der WannaCry-Angriff?
Das Ausmaß, das WannaCry weltweit annehmen konnte, wirft die Frage auf, wie ernst Organisationen das Thema Cyberkriminalität und Sicherheit nehmen. Es scheint fast, dass jeder denkt, ein solcher Vorfall trifft nur andere. WannaCry aber macht klar, dass es jeden treffen kann. Und die Auswirkungen auf den britischen National Health Service machen deutlich, wie fatal die Konsequenzen sind – insbesondere wenn solche Angriffe (lebens-)wichtige Systeme zum Ziel haben, wie zum Beispiel Krankenhäuser oder die Verkehrsinfrastruktur. In einer Zeit täglicher Cyber-Attacken ist es nicht nur fahrlässig, Netzwerke und Computer nicht zu schützen, sondern fast schon kriminell.

Wie können sich Nutzer schützen?

1. Regelmäßige Updates durchführen
Software-Updates werden regelmäßig veröffentlicht, um zum Beispiel Sicherheitslücken zu schließen, die sonst für die Installation von Ransomware genutzt werden könnten. Einige Betriebssystem-Updates werden automatisch durchgeführt, ohne dass der Nutzer sie anstoßen muss. Zum Teil ist es aber auch erforderlich, dass das Update vom Nutzer aktiv gestartet wird.

2. Antivirus-Software nutzen – am besten verhaltensbasiert
Nutzer der Antivirus-Software BullGuard sind geschützt. Denn die Software analysiert Malware sowohl signatur- als auch verhaltensbasiert. Signaturbasierter Schutz erkennt sofort infizierte Dateien, die sich über vergleichbare Strukturen zu bereits bekannter Malware "verraten", stellt diese in Quarantäne oder löscht sie. Neue Malware kann jedoch nur mittels verhaltensbasierter Antivirus-Software ermittelt werden. Sie prüft Dateien auf abnormales Verhalten oder böswillige Aktivitäten, warnt vor deren Öffnung oder stoppt selbst die Ausführung.

3. Gesunde Portion Skepsis
Ransomware kommt besonders häufig über Phishing-E-Mails, infizierte Anzeigen auf Websites oder gefälschte Apps auf den Rechner oder das Smartphone. E-Mails, die nicht erwartet werden und einen Anhang enthalten, sollten grundsätzlich mit größter Skepsis und Vorsicht behandelt werden. Im Zweifel auf keinen Fall den Anhang öffnen. Außerdem sollten Apps nur von bekannten App Stores wie zum Beispiel Google Play oder dem Apple App-Store installiert werden. Professionelle Antivirus-Software warnt außerdem vor dem Download vor verdächtigen Dateien, infizierten Links oder vor dem Besuch gefälschter Websites.
(BullGuard: ra)

eingetragen: 23.06.17
Home & Newsletterlauf: 17.07.17


BullGuard: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.