post

Erpressungstrojaner «Wanna Cry» nutzt bekannte Sicherheitslücke

Ransomware «Wanna Cry» deckt auf, wie anfällig Spitäler und Unternehmen sind.

Grossbritannien traf es besonders hart. Vielerorts war in den Spitälern seit Freitagabend kein Betrieb mehr möglich: Keine Operationen, keine Röntgen- oder Laborbefunde und auch die Telefone blieben stumm. Patienten wurden kurz vor dem vereinbarten Operationstermin wieder heimgeschickt, Ambulanzen auf lange Wege umgeleitet, auf der Suche nach einem funktionierenden Spital. Die Neugeborenen durften nicht nach Hause, weil keine Registrierung möglich war. Das Personal hatte keinen Zugriff mehr auf die Computer. Die Erpresser-Software «Wanna Cry» hat die Systeme abgeriegelt. Allein in England waren rund ein Fünftel der Arztpraxen und Spitäler des nationalen Gesundheitsdienstes NHS betroffen. Ärzte gaben gaben in den Medien bekannt, dass die umfassende Computerpanne wohl auch Menschenleben kosten werde – wegen nicht oder zu spät erfolgter Behandlung von Patienten.

Bekannter Vorgang mit zusätzlicher Verbreitung

Neben Grossbritannien waren auch rund 100 weitere Ländern von der Ransomware Wanna Cry betroffen. Der Ablauf entspricht dem einer typischen Erpresser-Software: Opfer klicken einen Link in einer E-Mail an, der den Trojaner auf den Rechner lädt. Die  Schadsoftware verschlüsselt den Computer und verlangt umgerechnet mehrere hundert Franken in der virtuellen Währung Bitcoin. Wer zahlt, erhält einen Entschlüsselungscode, der den Zugriff auf die gesperrten Daten wiederherstellen soll.

Diese Schadsoftware ist besonders dreist. Wenn der Schädling ein System infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu infizieren. Insbesondere für Unternehmen und KMU mit einer älteren Infrastruktur stellt dies ein signifikantes Sicherheitsrisiko dar! Der weltweite Cyberangriff hatte nach Einschätzung der europäischen Ermittlungsbehörde Europol ein bisher beispielloses Ausmass. Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag.

Microsoft erkennt Ernst der Lage

Wie ernst die Lage ist, zeigt sich auch daran, dass Microsoft nun für alte Versionen wie Windows XP eigens ein Sicherheits-Update bereitgestellt hat, das die von Wanna Cry ausgenutzte Lücke schliesst. Das 16  Jahre alte Betriebssystem wird vom grössten Softwarehersteller seit 2014 gar nicht mehr gepflegt. Für seine aktuellen Windows-Versionen hatte Microsoft hingegen bereits im März Sicherheits-Updates herausgegeben.

Probleme sind hausgemacht

Die Sicherheitsprobleme sind vielfach selbstverschuldet. Viele öffentliche Einrichtungen setzen zwangsläufig auf veraltete Software wie Windows XP oder Windwos Server 2003 um Kosten zu sparen.

Erschwerend kommt hinzu, dass in Industriebetrieben, einem Spitälern oder bei der Armee häufig ältere Programme in Gebrauch sind, die sich bewährt haben. Dafür gibt es meistens auch keine Updates mehr für die Kompatibilität mit neueren Windows-Versionen. Das Risiko, dass diese auf einem neuen Betriebssystem nicht laufen, will man nicht eingehen. Die Geräte werden zum Teil offline eingesetzt, um das Risiko zu minimieren. Das gewährt jedoch auch keine hundertprozentige Sicherheit, denn Erpresser-Software könnte beispielsweise auch per USB-Stick auf einen Rechner gebracht werden.

Bei einem Update auf neuere Windows-Versionen müssen die Geräte bzw. die Software von Drittanbietern wieder zertifiziert werden. Das ist teuer. Daher sparen sich viele öffentliche Einrichtungen die Aktualisierungen ihrer Systeme. Das bedeutet, sie bleiben für lange Zeit ungesichert.

Tipps gegen Cyberangriffe

  • Bei verdächtigen E-Mails, sollten Anhänge und Links auf keinen Fall geöffnet werden.
  • Durchführen regelmässiger Datensicherung auf einen externen Speicher (getrennt aufbewahren) oder in eine Cloud.
  • Sicherheitssoftware (Anti-Virus) installieren und  regelmässig aktualisieren.
  • Firewall konfigurieren
  • Betriebssystem und Software auf dem Computer sollte alle Updates umgehend und automatisch erhalten.
  • Wer unsicher ist, ob eine Website vertrauenswürdig ist, sollte sie nicht besuchen.

InfoSoft Systems ist ihr Partner für IT-Lösungen. Gerne beraten wir Sie konkret, wie Sie ihre Infrastruktur kostengünstig, effizient und vor allem sicher betreiben können. Kontaktieren Sie uns!

Soll man zahlen, wenn man gehackt wurde?

Die Schweizer Melde- und Analysestelle Informationssicherung (Melani) rät davon ab, ebenso das deutsche Bundesamt für Sicherheit in der Informationstechnik. Denn man habe keine Gewähr, dass man nach dem Überweisen der Bitcoins wieder Zugriff auf die eigenen Daten erhalte. Ausserdem wird man dadurch zu einem interessanten “Kunden” für einen Wiederholungsversuch. Die Opfer sehen das scheinbar anders. Viele sind bereit einige hundert Franken zu überweisen, um die Systeme wieder zugänglich zu machen.

Nur durch Zufall gestoppt

Dass die Verbreitung der Erpresser-Software vorerst gestoppt werden konnte, ist einem Zufall zu verdanken. Zwei Sicherheitsexperten haben im Quellcode eine Art Notausschalter entdeckt und diesen aktiviert. Eine Entwarnung ist das nicht: Erstens bleiben befallene Rechner verschlüsselt.

Zweitens dürften die Cyberkriminellen die Software bereits so umprogrammiert haben, dass der Notausschalter nicht mehr funktioniert. Zudem könnten Dritte bereits Anpassungen an der Software vornehmen und einen nächsten Angriff planen.

Die Rolle der Geheimdienste

Unabhängig davon dürfte Wanna Cry auch eine erneute Diskussion über das Gebaren der Geheimdienste auslösen. Denn Microsoft schloss die ausgenutzte Lücke erst, nachdem bekannt wurde, dass eine Hackergruppe diese Informationen von der NSA erbeutet hatte. Das heisst, dass die NSA vermutlich schon lange über die Lücken Bescheid gewusst hat. Darauf wies der Whistleblower Edward Snowden hin.

Der amerikanische Geheimdienst ist mit diesem Vorgehen nicht allein: Spione rund um den Globus kaufen von Hackern IT-Sicherheitslücken und behalten das Wissen so lange wie möglich für sich, anstatt etwa Google, Microsoft oder Facebook über die Fehler zu informieren. Denn so können Personen und Organisationen mitunter jahrelang relativ leicht ausspioniert werden. Das Risiko dieses Vorgehens ist mit Wanna Cry erneut deutlich zum Vorschein gekommen.

Quelle
  • «Diese Cyber-Attacke ist erst der Anfang» Neue Zürcher Zeitung, 13.05.2017 https://nzz.ch