Cyberangriff Petya/NotPetya: Haben wir wirklich nichts aus WannaCry gelernt?

Gerade einmal anderthalb Monate nach der verheerenden WannaCry-Epidemie hat uns mit dem aktuellen Petya- bzw. NotPetya-Angriff bereits die nächste Malware-Welle überrollt – und wie beim vergangenen Mal eine internationale Schneise der Verwüstung hinterlassen. „Haben denn die Unternehmen nichts aus WannaCry gelernt?“, fragen sinngemäß manche Kommentatoren. Auch wenn sie naheliegend erscheint, drohen mit dieser Frage die Opfer in gewissem Sinn zu Tätern zu werden, also zumindest teilweise selbst für den Schaden verantwortlich zu sein. Doch anstatt die Patch-Problematik in den Unternehmen zu unterschätzen und von hundertprozentiger Sicherheit zu träumen, sollten wir realistisch bleiben und uns auf den Faktor konzentrieren, den wir tatsächlich beeinflussen können: Das Zeitfenster von der ersten Entdeckung einer Malware bis zur Ergreifung von Gegenmaßnahmen so klein wie möglich zu halten.

Schien WannaCry noch ohne besonderen regionalen Fokus zu arbeiten, lässt sich das Epizentrum des aktuellen Großangriffs diesmal ganz klar in der Ukraine lokalisieren. Dort hat die Malware am heftigsten zugeschlagen, unter anderem die Zentralbank sowie der Flughafen Kiew gehören zu den Opfern. Aber auch international finden sich namhafte Unternehmen auf der Liste der Betroffenen: von der dänischen Reederei Maersk über den US-Konzern Mondelēz bis hin zum deutschen Nivea-Hersteller Beiersdorf. Zurzeit kristallisiert sich die Finanz- und Buchhaltungssoftware MEDoc als wahrscheinlichstes Einfallstor heraus. Wohl als vermeintlich legitimes Update getarnt, fand die Malware ihren Weg in einen Teil der betroffenen Firmen – um sich von dort per Administrations-Tool PSExec sowie ähnlich wie WannaCry per Exploit der EternalBlue-Sicherheitslücke weiterzuverbreiten.

Die Opfer sind und bleiben die Opfer

Es dauerte nicht lange, da wanderten bereits die ersten vorwurfsvollen Blicke zu den betroffenen Unternehmen: War WannaCry denn nicht Weckruf genug? Wie konnte ein derart massiver Angriff überhaupt ein zweites Mal zustande kommen? Hätten wir nicht spätestens nach dem vorigen Angriff alle unsere Hausaufgaben erledigt haben sollen? Wie so oft gestaltet sich die Realität leider etwas komplexer, als es auf den ersten Blick den Anschein haben mag. Die Tatsache, dass selbst nach WannaCry die ausgenutzte Sicherheitslücke trotz vorhandenem Patch bei vielen Unternehmen noch immer verwundbar war, beruht keineswegs auf einer verhängnisvollen Bequemlichkeit oder Naivität der betroffenen Unternehmen. Im Gegenteil.

Während für Privatanwender das Patchen ihrer Systeme sowie das Einspielen von Updates oft kein großer Aufwand und für viele von uns sicher bereits zur regelmäßigen Routine geworden ist, sind Softwareaktualisierungen nach Erscheinen der Patches in den Unternehmen gemessen am zeitlichen, organisatorischen und auch finanziellen Aufwand oft schlicht und ergreifend nicht zu bewerkstelligen. Unternehmen sind auf einen reibungslosen und unterbrechungsfreien Betrieb angewiesen und können sich Störungen oder gar Betriebsausfälle aufgrund fehlerhafter Updates nicht leisten. Hinzu kommen die oft strengen Vorgaben in kritischen Bereichen wie der Medizintechnik, dem Automotive-Sektor oder generell in industriellen Szenarien, die eine Modifikation der eingesetzten Software weder ermöglichen noch erlauben.

Anstatt die Verantwortung auf die Unternehmen abzuschieben, sollten wir daher gemeinsam daran arbeiten, realistische Lösungswege für ein Problem zu finden, das uns mit Sicherheit in der nächsten Zeit noch häufiger beschäftigen wird.

Kleinstmögliche Zeitfenster statt hundertprozentiger Sicherheit

Natürlich wird in diesem Zusammenhang gerne betont, dass es hundertprozentige Sicherheit ohnehin nie geben kann – und das ist auch richtig. Doch vielmehr als diesem illusorischen Ziel dennoch hinterherzulaufen und uns jedes Mal erneut zu ärgern, wenn wir wieder daran scheitern, sollte unser Sicherheitsdenken an den Stellen ansetzen, die wir tatsächlich beeinflussen können.

Lediglich zu reagieren anstatt aktiv zu handeln werden wir angesichts neuartiger Bedrohungen unweigerlich immer wieder tun müssen. Doch gerade deshalb gilt es sicherzustellen, dass das Zeitfenster vom ersten Angriff einer Bedrohung bis zu ihrer Erkennung und damit bis zum Einleiten der ersten Gegenmaßnahmen möglichst gering ausfällt, im Idealfall schließlich gegen Null strebt.

Der Überblick aus den Wolken

Die Zeitfensterproblematik stellt eine Herausforderung dar, bei der beispielsweise Cloud-basierte Sicherheitslösungen helfen können, welche die Gesamtbedrohungslage auf Basis weltweiter Sicherheitsdaten nahezu in Echtzeit im Blick behalten können. Solche Lösungen verfügen beispielsweise über hochmoderne Advanced Persistent Threat (APT)-Filter, welche in der Lage sind, verdächtige Datenströme – zum Beispiel in Form einer E-Mail oder eines Drive-by-Downloads – zunächst in einer abgesicherten Sandbox zu analysieren und zu überprüfen, noch bevor diese überhaupt an das System des Anwenders weitergegeben werden. Im Fall von WannaCry konnte so beispielsweise von unserem System unmittelbar eine Bedrohung identifiziert werden, sodass automatisch nicht nur der betreffende Anwender selbst, sondern prinzipiell alle Nutzer unserer Cloud-Sicherheitslösung unmittelbar geschützt waren.

Zielt eine bislang unbekannte Bedrohung aus dem Internet hingegen unmittelbar auf eine bestimmte Sicherheitslücke ab, können Cloud-basierte Intrusion-Detection- und -Prevention-Systeme (IDS/IPS) abhängig vom Infektionsweg ebenfalls helfen. Diese werden unter anderem bei verdächtigen oder schädlichen Zugriffen aktiv und blockieren sie. Wird im Cloud-IDS/IPS mit einem Mal eine auffällige Zahl blockierter Zugriffe auf eine bestimmte Sicherheitslücke registriert, kann dies ein Anzeichen dafür sein, dass eine bestimmte, vielleicht bislang unbekannte Malware soeben aktiv geworden ist und damit begonnen hat, ihr Unwesen zu treiben. In der Folge lassen sich weitergehende Abwehrmaßnahmen deutlich kurzfristiger ergreifen.

Selbstverständlich gibt es auch andere – und im Fall von Petya/NotPetya notwendige – Wege, dieses Ziel zu erreichen. Sicher ist jedoch: Dieses Zeitfenster – vom ersten Aktivwerden der Malware bis zur Ergreifung erster Gegenmaßnahmen – wird in Zukunft ausschlaggebend sein für unseren Erfolg im Kampf gegen die zunehmend schärfere Bedrohungslage im Internet. Es entscheidet darüber, ob einer neuartigen Bedrohung hunderte, tausende oder gar Millionen von Systemen zum Opfer fallen, bevor ihrem Wirken zumindest provisorisch Einhalt geboten wird. Und darauf, diese Zahl so klein wie möglich zu halten, müssen wir in Zukunft unsere Anstrengungen fokussieren. Das ist die Lektion, die wir aus WannaCry und NotPetya tatsächlich lernen müssen.

Über die Secucloud Network GmbH

Als erster deutscher Anbieter stellt der Security-Spezialist Secucloud ein umfassendes, vollständig cloudbasiertes Sicherheitssystem nach Industriestandard für Telekommunikations- und Mobilfunkanbieter bereit. Das modular aufgebaute "Elastic Cloud Security System" (ECS2) wird direkt in der Netzinfrastruktur des Carriers installiert, sodass dieser seine Kunden zentral vor allen modernen Cyberbedrohungen im Internet schützen kann. Da hierzu keine Softwareinstallation auf den Endgeräten der Kunden notwendig ist, entfallen sowohl Einrichtungs- als auch Wartungsaufwand vor Ort. Dabei skaliert die Secucloud-Lösung völlig elastisch, sodass sich auch mehr als 100 Millionen Anwender effektiv und in Echtzeit schützen lassen. Während der Internetnutzung scannen die unterschiedlichen Analyzer des ECS2 den gesamten Datenverkehr auf bösartige und schädliche Inhalte hin. Für einen umfassenden Schutz kombiniert Secucloud dazu zahlreiche leistungsstarke Security-Technologien wie Multi-AV-Engines, Next Generation Firewall, Packet Analyzer (inklusive Deep Packet Inspection sowie IDS- und IPS-Systeme), Global Cloud Intelligence, DNS Layer Analyzer, SSL Scan Decision, Trust & Reputation Analyzer, APT Sandbox Analyzer und Content Analyzer.

Weitere Informationen zum Unternehmen sowie seinem Angebot sind unter www.secucloud.com erhältlich.

Firmenkontakt und Herausgeber der Meldung:

Secucloud Network GmbH
Poststraße 6
20354 Hamburg
Telefon: +49 (180) 5015-437
Telefax: +49 (180) 5015-438
http://www.secucloud.de

Ansprechpartner:
Kai Bulau
Telefon: +49 (180) 5015-437
Fax: +49 (0) 180 5 015 438
E-Mail: kai.bulau@secucloud.com
Marcus Ehrenwirth
phronesis PR GmbH
Telefon: +49 (821) 444-800
Fax: +49 (821) 44480-22
E-Mail: info@phronesis.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.