Und „täglich grüßt das Murmeltier“ könnte man beim Blick auf die neuerliche Ransomware-Attacke meinen. Nicht einmal sechs Wochen nachdem der Erpressungs-Trojaner WannaCry geschätzt rund 200.000 Rechner in mehr als 150 Ländern infizierte, legt nun die Schadstoffsoftware notPetya erneut tausende von Computer lahm.
Die Liste der bisherigen Opfer reicht von Unternehmen in Russland und der Ukraine bis hin nach Deutschland, Großbritannien und in die Schweiz. Besorgniserregend ist, dass erneut auch kritische Infrastrukturen betroffen waren. In Folge des Angriffs wurden beispielsweise in der Ukraine Computer der Regierung, der Zentralbank und des Flughafens in Kiew verschlüsselt. Das havarierte Atomkraftwerk in Tschernobyl musste aufgrund von notPetya auf manuelle Radioaktivitätsmessungen umstellen, da die zuständigen Windows-PCs nicht mehr arbeiten konnten. Mit anderen Worten: Ransomware-Attacken sind hochgradig gefährlich, denn infolge der nicht mehr gewährleisteten Verfügbarkeit von Daten und Systemen kommt es zu unmittelbar erkennbaren Schäden und konkreten Konsequenzen – sowohl für die Allgemeinheit als auch für die direkt angegriffenen Unternehmen. Welches gravierende Ausmaß sowohl in finanzieller als auch operativer Hinsicht solche Cyberangriffe haben, erfährt gerade der Konsumgüterkonzern Reckitt Benckiser, der für Marken wie Sagrotan, Vanish, Durex oder Scholl bekannt ist. Betroffen vom notPetya Angriff, der tagelang die Produktion und Auslieferung in Teilen lahmlegte, musste der Konzern nun die Umsatzprognose für das laufende Geschäftsjahr senken. Umso dringender stellt sich vor diesem Hintergrund die Frage, warum Attacken dieser Art nicht energischer bekämpft werden?
NotPetya zeigt große Ähnlichkeiten zu WannaCry – ist jedoch weitaus effizienter und gefährlicher
Das gilt umso mehr, als dass die jüngste Schadstoffsoftware nach aktuellem Kenntnisstand keineswegs ein neuer Trojaner ist. Bereits im März 2016 tauchte mit Petya ein ähnlicher Trojaner auf und auch WannaCry weist große Ähnlichkeit mit dem jetzigen Schadcode auf. Die Trojaner versuchen allesamt die gleiche Schwachstelle im Windows-Betriebssystem zu nutzen, die allerdings mittlerweile durch Microsoft geschlossen wurde. Die Angriffe des jüngsten Trojaners beschränkten sich aber nicht auf Schwachstellen in Betriebssystemen: die Schadsoftware hat es auch auf die Zugangskennungen für privilegierte Benutzerkonten abgesehen. Ein solches Vorgehen wurde auch schon bei den Angriffen im Parlamentsnetz des deutschen Bundestages angewendet.
Doch nicht nur, dass die aktuelle Cyberangriffswelle gezielt privilegierte Benutzerkonten ausspäht, auch die Art und Weise, wie sie überhaupt in die Unternehmensnetzwerke eindringt, ist diesmal anders. Sicherheitsexperten von McAffee und Kaspersky Lab gehen davon aus, dass sich die Schadsoftware nicht ausschließlich über sogenannte Phishing-Mails verbreitet hat, bei denen Mitarbeiter unbedacht auf Mailanhänge klicken und dem Trojaner damit unbeabsichtigt die Tür zur Unternehmens-IT weit aufstoßen, sondern in Form eines Software-Updates in die betroffenen Unternehmen gelangte. Betrachtet man den raffinierten Angriff in Gänze, bedeutet das: Auch Systeme auf dem neuesten Stand der Technik können – zumindest nach erfolgreicher Erstinfektion eines Systems im Netzwerk – befallen werden.
Unternehmen müssen Security im Digitalzeitalter überdenken
Das Katz und Maus Spiel zwischen Angreifern und Verteidigern geht also munter weiter und man muss kein Hellseher sein, um weitere Cyber-Angriffe auf Basis gestohlener oder schwacher Passwörter sowie den Missbrauch der Rechte und Zugriffsdaten von Insidern und privilegierten Nutzern in nächster Zeit zu prognostizieren. Und ist der Hackerangriff erst einmal geschehen, geht es nicht mehr darum, „ob“ die Angreifer sich Zugang zum gesamten System verschaffen können, sondern „wann“ dies geschehen wird. Die heutigen, hybriden IT-Infrastrukturen und die fragmentierten Bereitstellungsmodelle, die sich über virtuelle und Cloud-Umgebungen erstrecken, stellen Unternehmen und IT-Anbieter vor neue Herausforderungen. Einmal mehr lautet die Frage, was sollten Unternehmen tun, um sich vor Angriffen zu schützen? Eine ganzheitliche Cyber-Sicherheits-Strategie, ausgehend von der Risikoerkennung über entsprechende Abwehrmaßnahmen bis hin zur durchgehenden Überwachung, kann Unternehmen helfen, das Risiko von Sicherheitsverstößen zu senken.
Die folgenden Schritte sollten Unternehmen hierbei unbedingt beachten:
- Begrenzen Sie den Umfang der Zugriffsrechte und reduzieren Sie die Anzahl der berechtigten Benutzer
- Führen Sie moderne 2-Faktorauthentifizierung ein
- Überwachen Sie Modifikationen an und Zugriffe auf Ihre wichtigsten Systeme und Daten
- Nutzen Sie identitätsbasierte Informationen, um festzustellen, ob Benutzeraktivitäten angemessen sind
- Legen Sie einen Maßstab für „normales“ Benutzerverhalten fest
Des Weiteren sollte bei der Auswahl der einzelnen Lösungen wie Security Information and Event Management (SIEM)-Produkte, Identity & Access Management-Lösungen, Change-Management-Systeme darauf geachtet werden, dass eine nahtlose Zusammenarbeit aller Komponenten möglich ist, um so die Risikoerkennung deutlich zu senken und geeignete Abwehrmaßnahmen parat zu haben.
Regional General Manager DACH, Micro Focus
