Verschlüsselung

WannaCry: Ungenügendes IT-Sicherheitsniveau führt fast zum Super-GAU

23. Mai 2017
  • Verschlüsselung

© santiago silver - Fotolia.com

Der Krypto-Trojaner WannaCry ist in aller Munde: seit dem 12.05.2017 vergeht kaum ein Tag ohne Meldung. Angefangen hatte es mit einer Meldung aus Großbritannien: WannaCry legte Rechner in Krankenhäusern lahm. Zum Teil mussten die Krankenhäuser auf analoges Arbeiten umstellen. Weitere Meldungen folgten aus Spanien, Deutschland und weiteren Teilen der Welt.

WannaCry: eine Ransomware geht um die Welt

In dieser kurzen Zeit wurden aus rund 150 Ländern WannaCry-Befall gemeldet; mehr als 200.000 Computer soll es bereits erwischt haben. Ziel des Angriffs sind Windows-Rechner mit alten Versionen sowie Windows-Rechner, bei denen die letzten Sicherheits-Patches nicht eingespielt wurden.

Was ist WannaCry überhaupt?

Bei WannaCry handelt es sich um einen Krypto-Trojaner, auch Ransomware genannt. WannaCry ist auch unter den Namen WCRY, Wcrypt, Wana Decrypt0r oder WannaCrypt bekannt. Als Schadsoftware verbreitet sich Ransomware automatisch von Rechner zu Rechner. Auf befallenen Rechnern werden die Daten verschlüsselt. Der User erhält dann eine Meldung, dass die Daten verschlüsselt sind und diese nach Zahlung eines Lösegelds wieder entschlüsselt werden.

WannaCry arbeitet besonders perfide: Die Erpressungssoftware nutzt eine Sicherheitslücke im Windows-Betriebssystem aus. Die NSA nutzte eben diese Lücke für eigene Spähangriffe und meldete sie deshalb nicht an Microsoft. Die Sicherheitslücke existiert also bereits ziemlich lange und nun wurde sie von Hackern genutzt.

Konkret wurden erfolgreiche Angriffe gegen kritsche Infrastrukturen gefahren; darunter beispielsweise gegen die der Deutschen Bahn, in Großbritannien traf es Krankenhäuser. Zwar stellte Microsoft zügig einen Notfall-Patch zum Schließen der Lücke bereit, jedoch wurde auf vielen Rechnern die Schwachstelle nicht rechtzeitig bereinigt. Das reguläre Patch geht ausschließlich an noch unterstützte Systeme (Windows 7 oder höher) raus. Für veraltete Systeme hat Microsoft in der Zwischenzeit ebenfalls einen Patch bereitgestellt.

Erpressung: kommen Sie wieder an Ihre Daten?

Zwei Aufgaben verfolgt WannaCry nach der Infektion des Rechners: zum einen versucht die Ransomware, weitere Rechner zu infizieren, und zum anderen verschlüsselt WannaCry die Dateien. Hierbei arbeiten zwei Verschlüsselungsmodule: Das eine verschlüsselt zehn rein zufällig ausgewählte Daten. Diese werden später als „kostenfreie Demo“ wieder entschlüsselt. Das zweite Modul verschlüsselt den kompletten Rest.

Die Kriminellen versprechen, diesen Rest nach Zahlung eines Lösegelds in Bitcoins wieder zu entschlüsseln. Auf dieses Versprechen sollten Sie jedoch nicht setzen. In aller Regel sind die Kriminellen weder willens noch in der Lage, Ihre Dateien wieder zu entschlüsseln. Das liegt unter anderem daran, dass die Lösegeldzahlung keinem Rechner zuzuordnen wäre.

Dass der Zahlung des Lösegelds eine Entschlüsselung folgt, ist also mehr als unwahrscheinlich. Deshalb: Zahlen Sie nie auch nur einen Cent, wenn Sie Opfer von Ransomware im Allgemeinen oder von WannaCry im Besonderen geworden sind!

Wie können Sie sich schützen?

Im Großen und Ganzen sind Sie dann vor WannaCry geschützt, wenn Sie die Regeln einhalten, die auch für jede andere Schadsoftware gilt:

  • Halten Sie Ihr System aktuell! Gerade Security-Updates werden vom Entwickler nicht aus Spaß verteilt, sondern um die Sicherheit zu stärken und Sicherheitslücken zu schließen.
  • Lassen Sie keine Dienste laufen, die Sie nicht benötigen.
  • Gehen Sie vorsichtig mit zugesendeten Links und/ oder Dateianhängen um.
  • Lassen Sie Ihre AV-Software regelmäßig Scans durchführen und halten Sie auch diese Software immer aktuell.
  • Gewöhnen Sie sich regelmäßige und korrekte Daten-Backups an. Wählen Sie dafür idealerweise ein oder mehrere Speichermedien, die ausschließlich fürs Backup an den Rechner angeschlossen werden. Die Speichermedien verschlüsseln Sie und verwahren Sie an einem sicheren Ort.

Was tun, wenn WannaCry bereits aktiv ist?

Sind Ihre Dateien bereits verschlüsselt, hilft nur noch eines: stecken Sie erst den Rechner aus, nehmen Sie ihn offline und formatieren Sie Ihre Festplatte, um Ihren Rechner anschließend frisch zu installieren. Mit einem aktuellen Backup haben Sie leichtes Spiel – ohne Backup sind Ihre Daten dahin. Ein Hoffnungsschimmer könnte sein, dass sich die verschlüsselten Daten beizeiten wieder entschlüsseln lassen. Haben Sie diese Hoffnung, können Sie die verschlüsselten Dateien vorher noch archivieren.

Ist Ihr Rechner frisch infiziert und haben Sie ihn noch nicht neu gestartet, kann Ihnen ein Tool namens WannaKiwi vielleicht noch helfen: Eventuell können einige Dateien gerettet werden. Downloaden können Sie das Helferlein bei Github. Wichtig dabei ist, sehr zügig zu handeln und den betreffenden Rechner keinesfalls neu zu starten! Nachdem Sie das Tool nach dem Download starten heißt es: Daumen drücken – eventuell bekommen Sie einige Dateien zurück. Ab Windows XP können Sie WannaKiwi nutzen.

Was Sie bei einer Infektion keinesfalls tun sollten

Was Sie in gar keinem Fall tun sollten ist, das Lösegeld zu zahlen. Die Chancen, Ihre Dateien entschlüsselt zurück zu erhalten – oder auch nur einen kleinen Teil Ihrer Dateien – liegen bei null. Gehen Sie keinesfalls auf die Lösegeldforderungen ein; sie sind nur teuer und bringen gar nichts.

WannaCry als Weckruf verstehen

Nach dem Telekom-Hack ist mit WannaCry bereits der zweite Weckruf gekommen: wir müssen die Sicherheit unserer IT stärken! In beiden Fällen sind wir nur knapp an digitalen Katastrophen vorbeigeschrammt – und die Gefahr, die von WannaCry im Besonderen und Ransomware im Allgemeinen ausgeht, ist noch nicht vorüber.

Auch der Bundesverband IT-Sicherheit e. V. (TeleTrusT) sieht in WannaCry einen „Weckruf für das gemeinsame Handeln der Verantwortlichen in Unternehmen und Organisationen“. Weiter warnt TeleTrusT „vor insgeheimer staatlicher Nutzung von IT-Sicherheitslücken“. Denn lassen Sie sich das noch mal auf der Zunge zergehen: Die US-Geheimdienstbehörde NSA nutzt die Sicherheitslücke seit Jahren für eigene Spähangriffe und hat sie aus diesem Eigennutz heraus nicht an den Enwtickler Microsoft gemeldet!

Dass Hacker diese Sicherheitslücke ebenfalls entdecken und ausnutzen, war nur eine Frage der Zeit. Dass es gerade Betreiber kritischer Infraktstrukturen getroffen hat, sollte den Weckruf noch erhöhen! Gerade in Organistationen, die kritische Infrastrukturen betreiben, muss das Bewusstsein für IT-Sicherheit deutlich erhöht werden. Idealerweise geschieht das aus einem Sicherheitsbewusstsein heraus, nicht aus gesetzlichen Pflichten.

Man kommt jedoch nicht umhin, sich zu fragen, wie viele Weckrufe noch nötig sind. Schon nach dem Telekom-Hack hätten Konsequenzen gezogen werden müssen: die Verantwortlichen müssen endlich zusammenarbeiten, Haftungsregelungen müssen eindeutig sein und gemeinsam muss für klare Sicherheitsstrategien gesorgt werden, die solche Angriffe verhindern können.



0 Kommentar(e)

Schreibe einen Kommentar