200.000 Rechnersysteme weltweit wurden seit Freitag 12. Mai durch eine Ransomware namens "WannaCry" außer Gefecht gesetzt. Die Attacke konnte vorerst gestoppt werden. Sicherheitsexperten rechnen aber mit weiteren Angriffen durch die selbe Schadsoftware in einer leicht modifizierten Variante.

weltweiter Hackerangriff

Der Krypto-Trojaner nutzt eine Sicherheitslücke in MS Windows Betriebssystemen, die bereits seit längerer Zeit bekannt ist, und für die seit Anfang des Jahres ein Patch von Microsoft existiert. Vornehmlich Windows XP Rechner sind betroffen, da diese noch relativ weit verbreitet sind, jedoch bereits seit einiger Zeit von Microsoft nicht mehr supported und somit mit Updates versehen werden.

Auffällig ist, dass vor allem Systeme von Kritischen Infrastrukturen (KRITIS) infiziert wurden: Unternehmen im Bereich Logistik, Gesundheitswesen, Telekommunikation, wie z.B. die Deutsche Bahn, FedEx in den USA, Krankenhäuser in UK, Portugal Telecom oder die spanische Telefónica. Aber auch andere Unternehmen und Privatpersonen sind Opfer des Erpressungstrojaners geworden und finden sich nun mit der Frage konfrontiert: Geld zahlen oder nicht? Auch wenn Experten von einer Zahlung abraten, so sind 300 Dollar doch schnell gezahlt und nicht der Rede wert, um die Daten dafür wiederherzustellen und die Arbeit wieder wie gewohnt weiterlaufen zu lassen.

Schadsoftware verbreitet sich zu 80 Prozent als Anhang in Phishing E-Mails. So auch WannaCry. Einmal im eigenen Netzwerk kann die Schadsoftware jedoch erstmals auch ohne Zutun der Nutzer andere Rechner infizieren, die nicht mit dem erforderlichen Microsoft-Patch ausgestattet sind. Sie versucht dazu bspw. automatisiert Remotedesktopverbindungen zu anderen Rechnern aufzubauen.

Allgemeine Empfehlungen von Sicherheitsexperten

Weil Sicherheitsexperten mit der Rückkehr des Crypto Viruses in abgewandelter Form rechnen, empfehlen sie, umgehend Programme und Software zu aktualisieren. Es gibt keinen besseren Zeitpunkt zu handeln als jetzt. Microsoft hat vorbildlich reagiert und stellt Sicherheitsupdates für die eigentlich nicht mehr supporteten Betriebssysteme Microsoft Windows XP, Windows 8 und Windows 2003 zur Verfügung. Im Einzelnen sollten folgende drei Sicherheitsmaßnehmen umgehend realisiert werden:

  • Aufspielen aktueller Microsoft Software-Patches auf allen Windows Rechnern im Unternehmen.
  • Rechner mit nicht mehr supporteten Betriebssystem-Versionen wie Windows NT4, 2000 etc. möglichst isolieren, da für diese Systeme nach wie vor kein Patch zur Verfügung steht.
  • Die Firewall-Ports 445 (Dateifreigabe) ,139 (NetBIOS Session Service - verwendet für Datei- und Druckerfreigabe) und 3389 (Remotedesktopverbindung) schließen, um automatisierte Attacken abzuwehren. Nach aktuellem Kenntnisstand nutzt WannaCry diese Ports für automatisierte Attacken.

Das Verwenden aktueller Software ist die Basis, um sich zu schützen, da Schadprogramme Sicherheitslücken in Browsern, Office-Anwendungen und Flashplayern als Einfalltor ins Netzwerk nutzen. Eine aktuelle Virenschutz-Software erkennt sicher nicht alle Erpressertrojaner aber sie kann helfen, bereits Bekannte zu blocken.

Achtung beim Öffnen von E-Mail-Anhängen bekannter und vor allem unbekannter Absender. Dem sollte immer die Frage vorausgehen, ob das Öffnen der Dateien von diesem Absender – egal ob bekannt oder unbekannt - es wert ist! Sie könnten das gesamte Netzwerk lahmlegen und Lösegeldforderungen zur Folge haben. Regelmäße Backups können zumindest einige Unannehmlichkeiten abfedern. Sie sind unerlässlich, am besten auf externen Festplatten, die nur für den Zweck eines Back-ups mit dem Rechner verbunden werden und nicht permanent angeschlossen bleiben. Im Falle einer Kompromittierung können so zumindest nach Bereinigung die zuletzt gesicherten Daten wiederaufgespielt werden.

WannaCry vorbeugen – Ransomware vermeiden

Während es relativ einfach zu bewältigen ist, die Firewall entsprechend zu konfigurieren, lassen sich viele Systeme nicht in der notwendigen Geschwindigkeit aktualisieren, vor allem wenn dort eine ältere Betriebssystem-Version läuft und zudem noch eine eine Software, die möglicherweise nicht für neuere Betriebssystem-Versionen kompatibel ist oder auf diesen getestet wurde. Hier kommt auf viele Unternehmen eine große Aufgabe zu.

Eine Maßnahme kann jedoch relativ schnell umgesetzt werden: Unternehmen sollten möglichst keine Dateien mehr per E-Mail Anhang entgegennehmen. Systeme wie Cryptshare und eine einfache Anpassung des Workflows können Unternehmen vor Ransomware Attacken wie WannaCry schützen.

Die Sofortmaßnahme sieht so aus: Ein Unternehmen installiert Cryptshare innerhalb eines Arbeitstages und stellt serverseitig ein, dass Anhänge nicht mehr per Mail angenommen werden. Beim Versuch eine E-Mail mit Anhang zuzustellen, wird diese geblockt und der Absender erhält eine Nachricht, seinen Anhang über die Webanwendung an das Unternehmen zu übertragen. Um die Webanwendung nutzen zu können, muss sich der Absender mit einer existierenden E-Mail-Adresse einmalig am Cryptshare Server des Empfängers authentifizieren. Diese Hürde würde es einem Angreifer, der möglichst Anonym eine Vielzahl verschiedener Rechner angreifen möchte, das Leben bereits schwer machen.

Die Sicherheitssoftware Cryptshare kann darüber hinaus jedoch in verschiedenen Sicherheitsstufen ausgeführt werden. Cryptshare kann u.a. so eingestellt werden, dass zwischen Absender und Empfänger ein Einmalpasswort auf separatem Wege ausgetauscht werden muss, um Dateien abrufbar zu machen. Das setzt die Hürde für eine gezielte Infektion eines Unternehmens noch deutlich höher. Unabhängig von der gewählten Sicherheitsstufe wird zudem bei jedem Versandvorgang die IP-Adresse des Absenders protokolliert. Dadurch wird der Angreifer zurückverfolgbar.

Organisationen und Unternehmen jeder Branche und Größe, auch kritische Infrastrukturen wie Logistikunternehmen oder Krankenhäuser, können von dieser einfachen Umstellung des Workflows profitieren, weil Cryptshare schnell und einfach zu implementieren ist und von den Anwendern, also den Mitarbeitern, Kunden, Patienten etc. intuitiv bedient werden kann. Cryptshare nutzt, was alle von uns kennen: E-Mail. Cryptshare macht E-Mail nur einfach besser.