Objektspeicher als Antwort auf Ransomware Was wir aus WannaCry und Petya gelernt haben

Autor / Redakteur: Jürgen Krebs / Peter Schmitz

Bereits kurz nach dem Ausbruch der Malware WannaCry tauchte mit Petya/NotPetya der nächste Schädling auf, der noch größeres Schadenspotential aufwies und offenbar dieselbe Sicherheitslücke nutze, die schon WannaCry den Zugriff auf Tausende von Rechnern ermöglichte. Unternehmen haben anscheinend aus dem ersten Vorfall nichts gelernt.

Ransomware wie WannaCry dürfte auf längere Sicht ein „Erfolgsmodell“ für Cyberkriminelle sein. Datensicherung mit Objekt-basierten Speichern kann eine wirksame Gegenmaßnahme sein.
Ransomware wie WannaCry dürfte auf längere Sicht ein „Erfolgsmodell“ für Cyberkriminelle sein. Datensicherung mit Objekt-basierten Speichern kann eine wirksame Gegenmaßnahme sein.
(Bild: Pixabay / Securelist / CC0 )

Am 12. Mai kam es zu einem massiven Malware-Angriff. Es begann im englischen Gesundheitssystem (NHS National Health Service), wo Dutzende Krankenhäuser betroffen waren, verbreitete sich dann rasend über sechs Kontinente hinweg und zog insgesamt schätzungsweise 75.000 Maschinen in Mitleidenschaft.

Die Ransomware „WannaCry“ hat sich nicht durch unachtsame Personen verbreitet, die auf infizierte Links geklickt haben, sondern Wurm-ähnlich über eine Sicherheitslücke im SMB-File-Sharing-Protokoll von Windows-Systemen. Aber ein bereits zur Verfügung stehendes Sicherheits-Update hätte den Angriff verhindern können, denn betroffen waren nur Systeme, die seit dem 14. März 2017 nicht mit dem Microsoft-Patch MS17-010 aktualisiert worden waren. Dieser Patch war erstellt worden, um das unter dem Namen „Externalblue“ bekanntes Software-Sicherheitsproblem zu beseitigen – einst ein wohlgehütetes Geheimnis staatlicher Sicherheitsdienste, das dann durch die Hackergruppe „ShadowBrokers“ durchgesickert ist.

Das Ausmaß des Angriffs war bis dahin ohne Beispiel, aber bereits wenig später tauchte mit Petya/NotPetya der nächste Schädling auf, der Experten zufolge noch größeres Schadenspotential aufweist. Das Perfide: Die Malware nutzte offenbar dieselbe Sicherheitslücke, die bereits WannaCry den Zugriff auf Tausende von Rechnern ermöglichte. Haben die Verantwortlichen nichts gelernt?

Unternehmen sollten aus dem Ablauf vor allem den Schluss ziehen, dass sie jederzeit aktuelle Sicherheitspatches einspielen müssen, um IT-Systeme vor Angriffen zu schützen - damit ist keine hundertprozentige Sicherheit zu erzielen, aber das Risiko sinkt beträchtlich. An dieser Stelle sollte auch einmal Microsoft lobend erwähnt werden: Der Konzern aus Redmond hatte angesichts der Bedrohung erstmals in seiner Geschichte an einem „Patchday“ unter der Bezeichnung KB4012598 einen Patch für nicht mehr unterstützte Windows-Versionen erstellt und im Netz verbreitet. Damit war es möglich, auch alte Systeme in die Neuzeit zu katapultieren – zumindest, was den Sicherheitslevel anging.

Ansonsten bleibt nur der Hinweis auf Altbekanntes: Anwender im Unternehmen sollten niemals auf Links oder Anhänge in E-Mails klicken, dessen Absender unbekannt ist. Zudem ist es ratsam, den eigenen Computer regelmäßig neu zu starten um alle Sicherheitspatches abzuschließen, auch solche die gegebenenfalls noch unvollständig sind.

Sicherheitsexperten wiederholen diese Tipps seit Jahren gebetsmühlenartig. Gehör finden sie aber meist nur dann, wenn es mal wieder „gekracht“ hat.

(ID:44795639)