»Ooops, your important files are encrypted«

in Schwerpunkt von

Das war die unerfreuliche Nachricht, die am 12. Mai auf den Bildschirmen vieler Unternehmenssysteme prangte – Verursacher war die Schadsoftware „WannaCry“. 

Von Michael Sauermann

Der Verschlüsselungstrojaner „WannaCry“ setzte weltweit Computersicherheits- und Reaktionsteams in Bewegung, um in mühevoller Arbeit die Bedrohung abzuwenden und vielerorts den normalen Betriebszustand wiederherzustellen. Die Symptome des Angriffs waren allgegenwärtig und medienwirksam. In China konnten Kunden der 20.000 Filialen starken Tankstellenkette „PetroChina“ ausschließlich mit Bargeld bezahlen. Im Vereinigten Königreich mussten Ärzte sowie anderes medizinisches Personal auf Stift und Papier zurückgreifen und zahlreiche Termine absagen, da das NHS (National Health System) ebenfalls betroffen war. Zeitgleich verbreitete sich der Verschlüsselungstrojaner in Deutschland auf zahlreichen Systemen der Deutschen Bahn, wodurch Kunden unverkennbar auf Anzeigetafeln der Erpresserbrief, in dem die Computerkriminellen 300 bis 600 US-Dollar für die Entschlüsselung eines Systems verlangen, präsentiert wurde.

Wie kam es zu dem Angriff?
WannaCry nutzt eine Schwachstelle (auch Zero-Day Exploit genannt) namens „EternalBlue“ aus, welche vor Bekanntwerden bereits über mehrere Jahre durch den US-Geheimdienst NSA genutzt worden sein soll. Die Entwicklung der Schad-Software geht auf eine Gruppe namens „Equation Group“ zurück. Nachdem die NSA erfuhr, dass das Wissen über diese Sicherheitslücke gestohlen wurde, informierte sie Microsoft, die daraufhin am 12. März 2017 ein Software-Update zur Behebung der Schwachstelle zur Verfügung stellte. Nachdem einen Monat später „EternalBlue“ durch die Hacker-Gruppierung „The Shadow Brokers“ öffentlich gemacht wurde, startete daraufhin die erfolgreiche Angriffswelle mit weitreichenden Folgen. Denn bei vielen Systemen weltweit wurde eine Installation des sicherheitskritischen Updates und anderer wirksamer Gegenmaßnahmen nicht rechtzeitig durchgeführt.

Warum war er so verheerend?
Die von den Computerkriminellen genutzte Schwachstelle „EternalBlue“ besitzt wurmartige Fähigkeiten um sich fortzubewegen. Das bedeutet, dass sich der Verschlüsselungstrojaner selbstständig in IT-Netzwerke einschleichen und ausbreiten kann. Nach einer initialen Infektion eines einzigen nach außen (zum Internet) hin exponierten Systems einer IT-Infrastruktur erfolgt die Ausbreitung auf jedes direkt oder indirekt erreichbare, ebenfalls verwundbare, System. Ein kleiner Fehler resultiert in einem nahezu exponentiell wachsenden Problem.

Wie schützen sich Unternehmen?
Eine universelle und zu jederzeit 100-prozentig greifende Präventionslösung existiert nicht. Durch die Vielzahl verschiedener Hard- und Softwarelösungen gleicht kaum eine IT-Infrastruktur eines Unternehmens der eines Anderen. Deswegen sollte sich jedes Unternehmen intensiv mit allen Facetten seiner Informations- und IT-Sicherheit auseinandersetzen. Wichtig ist es dabei zu verstehen, dass neben Aspekten der Prävention, die Detektion und adäquate Reaktion wesentliche Kernkomponenten einer funktionierenden, ganzheitlichen Cyber Security darstellen. Zum Schutz vor digitalen Bedrohungen sind präventive sowie reaktive Maßnahmen zu gleichen Teilen zu berücksichtigen. Grundlegend muss von der Unternehmensführung ausgehend beispielsweise eine Steuerung der Informationssicherheit erfolgen. Hierfür eignet sich die Einführung eines Informationssicherheitsmanagement-Systems (ISMS), um die benötigten organisatorischen Rahmenbedingungen zu schaffen. Nach der Implementierung dieser beispielhaft genannten Maßnahmen ist es wichtig sicherzustellen, dass diese regelmäßig auf ihre Wirksamkeit geprüft und wenn notwendig verbessert werden.

Michael Sauermann
Partner bei KPMG; er leitet deutschlandweit den Bereich Forensic Technology und unterstützt mit seinem Team Kunden bei der fachgerechten Bewältigung und Prävention von IT-Sicherheitsvorfällen.

zur Startseite