Skip to main content
main-content
Top

15-05-2017 | Internetkriminalität | Im Fokus | Article

Wannacry-Angriff basiert auf NSA-Spionagewerkzeug

Author: Sven Eisenkrämer

5 min reading time
share
SHARE
print
PRINT
insite
SEARCH

Ein riesiger Ransomware-Angriff sorgt seit Freitag, 12. Mai 2017, für Hunderttausende gehackte Rechner weltweit. Laut Sicherheitsexperten haben Kriminelle ein von der NSA entwickeltes Hacking-Werkzeug für die Verbreitung "Wannacry“ genutzt. Schuld am Erfolg der Angreifer sind aber vor allem veraltete IT-Systeme.

Ein "Angriff in einer noch nie dagewesenen Dimension", so formuliert die europäische Polizeibehörde Europol die seit Freitag stattfindende Computer-Angriffswelle von Kriminellen mit der Ransomware "Wannacry", konkret dem "Wana Decrypt0r 2.0". Vermutlich Hunderttausende Computersysteme sind weltweit davon betroffen. In Großbritannien wurden am Wochenende vom 12. bis 14. Mai 2017 zahlreiche Rechner des National Health Service befallen, Medien berichten von chaotischen Zuständen in Krankenhäusern, deren IT durch die Ransomware unbrauchbar gemacht wurde.

Editor's recommendation

2017 | OriginalPaper | Chapter

Cybersicherheit: ein allumfassender und risikobasierter Lösungsansatz

Cybersicherheit ist nicht nur IT-Sicherheit, da Cyberrisiken Teil des Gesamtrisikos eines Unternehmens sind und nicht ein isoliertes Problem der IT. Ein reiner IT-Ansatz ist daher nicht zielführend, da die Cyberproblematik über den IT-Ansatz hinausgeht.


Viele weitere Bereiche sind ebenso betroffen. Mehrere Autohersteller stoppten laut Agenturberichten den Betrieb in einigen Werken. So war Nissan in Großbritannien betroffen und Renault in Frankreich. In Spanien sind große Telekommunikationsbetreiber angegriffen worden und in den USA hat der Logistikkonzern Fedex Probleme mit Wannacry, dessen Bezeichnung frei übersetzt "Ich könnte heulen" bedeutet.

Anzeigetafeln bei der Bahn ausgefallen 

Prominentestes Opfer in Deutschland ist die Deutsche Bahn. An zahlreichen Bahnhöfen war vor allem das Anzeigesystem gestört. Die Bahn setzte nach eigenen Angaben zusätzliche Mitarbeiter ein, um Kunden über die Zugverbindungen zu informieren. Der Fahrbetrieb habe aber ohne besondere Störungen ablaufen können, teilte die Bahn mit. 

Einige Experten vermuten, dass die Angriffswelle in Russland losgetreten wurde, so ist die Föderation auch am stärksten vom Ransomware-Befall betroffen.

Laut der IT-Security-Spezialisten von G Data Software beruht der Infektionsmechanismus von Wannacry auf einem vom US-amerikanischen Geheimdienst NSA entwickelten Hacking- und Spionagewerkzeug. Der Erpressertrojaner gelangt demnach durch eine Sicherheitslücke im Windows-Betriebssystem auf die Rechner. Eigentlich hatte Microsoft die Schwachstelle bereits im März 2017 per Update geschlossen, weswegen "nur" Rechner ohne aktuellsten Patch oder mit veralteten Windows-Systemen betroffen sind. Dennoch hat es knapp 200.000 weltweit erwischt.

Zwei Wege der Verbreitung

Die Schadsoftware nutzt scheinbar zwei Wege, um sich zu verbreiten und Computersysteme zu infizieren und dann zu sperren. Einerseits wird sie über E-Mails eingeschleust, wie auch ein Bericht der Deutschen Presseagentur belegt, der einen Sprecher der Deutschen Bahn zitiert. Der Angriff auf die Bahn sei durch E-Mails ausgelöst worden. Allerdings scheint sich der Kryptotrojaner, nachdem er ein System infiziert hat, wie ein Wurm im gleichen Netzwerk auszubreiten und andere angeschlossene Computer zu befallen. 

Geheimdienst NSA hat den Exploit als Hackerwerkzeug entwickelt

Die Lücke, die Wannacry nutzt, war durch einen Leak der Hackergruppe "Shadow Brokers" bekannt geworden. Der Exploit, der "Eternalblue" genannt wird, ist Teil einer Sammlung von Hackerwerkzeugen aus einer NSA-Datenbank, die die Shadow Brokers im April öffentlich gemacht hatte. "Mit Veröffentlichung der WikiLeaks-Dokumente haben wir bereits befürchtet, dass diese Information von Cyber-Kriminellen für Angriffe genutzt werden", sagt  Tim Berghoff von G DATA. "Der Erfolg von Wannacry stellt bereits jetzt das flächenbrandartige Auftreten anderer Ransomware wie Locky oder CryptoLocker in den Schatten."

Berghoff erklärt: "Die Vorfälle zeigen auf dramatische Weise, welche Folgen es haben kann, wenn Updates nicht rechtzeitig installiert werden. Die ausgenutzte Sicherheitslücke wurde bereits im März von Microsoft geschlossen - dennoch war Wannacry erfolgreich." Staatliche Organisationen, Firmen und Privatanwender sollten sich sehr schnell Gedanken machen, wie sie die jeweiligen Sicherheitslücken schließen können. IT-Verantwortliche in Unternehmen sollten den Einsatz von Patch Management prüfen, um Updates für alle Computer im Netzwerk zügig ausrollen zu können.

Sicherheitsupdates auch für alte Windows-Systeme

Nachdem die Dimension des Angriffes bekanntgeworden war, hat Microsoft am Samstag, 13. Mai 2017, noch einmal Sicherheitsupdates für die eigentlich nicht mehr unterstützten Betriebssysteme Windows XP und Windows Server 2003 bereitgestellt.

Sicherheitsfragen in Computersystemen sind keine technischen Probleme, sondern menschliche Probleme." Rüdiger Brause im Kapitel "Sicherheit" im Springer-Buch "Betriebssysteme" (2017), Seite 324.

Veraltete Software und der menschliche Faktor stellen für Unternehmen aktuell die größten Risiken dar. "Viele Unternehmen auf der Anbieter- als auch auf der Anwenderseite stellen die Cybersicherheit immer noch der IT-Sicherheit gleich. Durch die zunehmende Digitalisierung und Vernetzung der Systeme und Netzwerke ist jedoch festzustellen, dass ein reiner IT-Ansatz nicht zielführend ist und die Cyberproblematik über den IT-Ansatz hinausgeht und zusätzlich personelle, physische und organisatorische Aspekte berücksichtigen muss", erklären Michael Bartsch und Stefanie Frey im Springer-Buch "Cyberstrategien für Unternehmen und Behörden" (2017), Seite 49. Im Kapitel "Cybersicherheit: Ein allumfassender und risikobasierter Lösungsansatz" schlagen sie vor, dass Unternehmen die Risikobetrachtung auf Prozessebene angehen sollten, statt auf Basis der darunterliegenden IT-Systeme. 

Schwachstellen in der Unternehmens-IT bieten Angriffsfläche

Springer-Autor Hans-Peter Königs beschreibt in seinem Kapitel zum "Cyber-Risikomanagement" im Buch "IT-Risikomanagement mit System" anhand eines Fallbeispiels einige Schwachstellen, die eine erfolgreiche Cyberattacke zur Folge hatten. So lassen sich unter anderem folgende Risikofaktoren festhalten:

  • Keine Zwei-Faktor-Authentisierung für das Log-in auf die Systeme
  • Verwendung schwacher Usernames und Passwörter
  • Kein besonderer Schutz (zum Beispiel Kryptografie) für streng vertrauliche Datenelemente
  • Mitarbeiter betreiben individuelle "Gmail-Accounts" auf ihren Office-Computers
  • Veraltete, unangemessene Computer-Systeme ohne "Security Design"
  • Veraltete und ungenügende Werkzeuge für Malware-Detektion
  • Fehlende Identifikation der mit dem Netzwerk verbundenen Geräte und fehlendes Monitoring des Datentransfers (in/out)
  • Fehlende Multi-Verteidigungslinien
  • Verbindung mit einer unsicheren Website eines Outsourcing-Partners
  • Keine Cybersecurity-Sensors und -Technologien

Wannacry-Notausschalter per Zufall gefunden

Sicherheitsforscher haben zwischenzeitlich eher zufällig auch einen Notausschallter, einen so genannten Kill Switch im Kryptotrojaner Wannacry gefunden und die Weiterverbreitung mittels des Wurm-Mechanismus damit gestoppt. Mittlerweile kommunizieren auch die allermeisten der fast 200.000 infizierten Rechner weltweit nicht mehr mit dem Netz. 

Tweet des Computerspezialisten "Malwaretech"


Doch ein Ende solcher Angriffe ist in keiner Weise zu erwarten. Der junge Computerspezialist, der den Kill Switch gefunden hat, twitterte am Wochenende: "Es ist sehr wichtig, dass jeder versteht, dass sie (die Kriminellen, d. Red.) nur etwas Code ändern müssen und wieder starten können. Aktualisiert eure Systeme jetzt!" Zudem waren in dem Leak der Shadow Brokers noch weitere NSA-Hackerwerkzeuge benannt. "Wenn sich dieser Trend wiederholt, dann ist mit dem Einsatz weiterer Geheimdienstwerkzeuge durch Cyberkriminelle zu rechnen", heißt es beispielsweise von den G-Data-Experten.

Related topics

Background information for this content

Related content

Premium Partner