Ooops, your files habe been encrypted!

Das musste so kommen. Wir können diesmal sogar von Glück reden, das nichts schlimmeres passiert ist. Die Ransomware Wanna Cry hat schonungslos aufgezeigt, wie leicht wir das Thema IT-Sicherheit nehmen. Dieser Fall zeigt auch, welche fatalen Folgen es haben kann, wenn staatliche Organisationen Sicherheitslücken nicht an die Software-Hersteller weiter melden. Das die NSA inkontinent ist, wissen wir seit Edward Snowden. Also werfen wir einen Blick auf die Ereignisse der letzten Woche.

Photo Frank Becker
Photo Frank Becker

In der letzten Woche haben zwei Themen eine Rolle gespielt. Sie sind vom Grundsatz her auch getrennt zu betrachten. Bei beiden Themen wurden Sicherheitslücken ausgenutzt. Dabei spielt es für mich erst mal keine Rolle, ob diese Sicherheitslücken bekannt waren oder nicht. Am Wochenende wurde eben eine bekannte Sicherheitslücke für eine der schwersten Ransomware Attacken der letzten Jahre ausgenutzt. Weltweit waren rund 200.000 Organisationen in 150 Ländern betroffen.

Wer hinter dieser Attacke steckt, ist für mich zweitrangig. Sie hat sehr deutlich gemacht, das es immer noch Systeme gibt, die nicht regelmäßig gewartet werden und auf dem aktuellen Patch-Level der Hersteller sind. Mal ganz davon abgesehen, das immer noch zu viele XP-Rechner produktiv im Einsatz sind. Hier sah sich sogar Microsoft gezwungen ein Sicherheitsupdate für XP nachzuschieben (man höre und stauen!).

Der schwarze Peter liegt diesmal bei staatlichen Organisationen, wie der NSA, welche Zero Day Exploits für ihre eigenen Zwecke zurückhalten und diese Sicherheitslücken nicht an die Softwarehersteller weiter melden. Das die NSA inkontinent ist, wissen wir schon. Es ist also mehr als zweifelhaft, dass das Wissen über Lücken in Systemen sicher bei diesen Organisationen aufgehoben ist. Auch wenn ihre Lauschangriffe damit etwas erschwert werden.

Für Unternehmer und private Anwender gibt es nur eine Schlussfolgerung aus der WannaCry Ransomeware-Attacke. Auch wenn man selbst nicht betroffen war, ist das oberste Gebot alle Systeme auf dem aktuellen Stand zu halten. Für jedes Online-Konto ist ein sicheres einzigartiges Kennwort zu verwenden und mit einem Konto, welches über administrative Rechte verfügt, wird nicht gearbeitet. Danach kommt direkt eine wasserdichte Backup-Strategie, um mit Schadsoftware befallene Systeme ohne Datenverlust schnellstmöglich wiederherstellen zu können. Und ganz zum Schluss kommt vielleicht der Virenscanner. Aber auf den kann man dann getrost verzichten. Der Meldet sich eh erst, wenn es zu spät ist – oder gar nicht mehr!

Unternehmer haben noch einen weiteren Punkt im Auge zu behalten. Sie sollten sich die Frage stellen, wenn mein Staat über Informationen verfügt, welche die Sicherheit meiner IT-Infrastruktur gefährdet (und damit auch meine Existenz bedroht!) und diese nicht unverzüglich weitergegeben werden, was wissen diese Organisationen noch, was nicht an die Öffentlichkeit gelangt ist. Oder kurz: Gibt es noch weitere Sicherheitslücken (Zero Day Exploits), die für das Eindringen in fremde Rechensysteme zu Spionagezwecken genutzt werden. Diese können nämlich auch von Kriminellen verwendet werden.

Dazu zählt auch, dass man ganz genau hinschaut welche Systeme betroffen waren und aus welchen Gründen. Die aktuellen Schutzbehauptungen, ich habe ja ein aktuelles Windows 10, halte ich für gefährlich. Staatliche Hacker, die im Auftrag ihrer Regierungen nach Lücken in Systemen suchen, werden nicht nur über einen kleinen Werkzeugkoffer verfügen. Man kann getrost davon ausgehen, das NSA und Co. noch mehr Pfeile im Köcher haben, die nur darauf warten ge-leaked zu werden – oder andere finden diese Löcher eben auch!

Open Source Lösungen sind nicht per se sicherer. Das zeigt der zweite Fall sehr deutlich, der sich jetzt schon über mehrere Wochen hinzieht. Insbesondere wenn Geräte auf der Basis von Linux in die Hände von Anwendern gelangen, die nicht über das entsprechende Know-How verfügen und diese dann mit den Standardeinstellungen produktiv verwenden. Auch hier haben Kriminelle und Geheimdienste leichtes Spiel, diese Geräte in ihre Gewalt zu bekommen. Die Folge sind DDoS Attacken mit ungeheurer Wucht, gegen die kein Kraut gewachsen ist. Gegen eine DDoS Attacke, die Anfragen in der Größe von 1.7 Terra Byte pro Sekunde an eine Domain sendet, bleibt nur der Loopback als letztes Mittel übrig.

Hier läuft gerade ein Katz und Maus Spiel, welches die E-Commerce-Branche schon verloren hat. Nacheinander wird eine Domain nach der anderen kurz unter Beschuss genommen, um anschließend die Reaktionen im Netz auszuwerten. Je mehr Geschrei es in der zuckerbergschen Bedürfnisanstalt gibt, desto größer ist die Wahrscheinlichkeit auf fette Beute. Auch hier gilt das gleiche, wie bei der Ransamware WannaCry. Wer sich nicht auf die Versprechungen der Werbung verlässt und ordentlich vorbeugt, muss später weniger befürchten.

Fahrlässig ist hier darauf zu vertrauen, das die Käufer von IoT-Geräten diese schon entsprechend absichern werden. Während es für jedes Auto eine Zulassung vom Kraftfahrtbundesamt gibt, fehlt diese in der IT völlig. Und dieser Müll wird für viel Geld, am besten Online, an den Endverbraucher verkauft. Hier kann man den Händlern durchaus fahrlässige Absicht unterstellen. Wer sich jetzt darüber beschwert, das mittels dieser Geräte die eigene Homepage zeitweise vom Netz geschossen wird, der hat den Knall nicht mehr gehört.

Es gibt für Europa mächtig viel Arbeit, die es in der nächsten Zeit bewältigen gilt. Alleingänge auf Länderebene werden hier nicht viel bringen. Eine alternativlose Politik mit einer wir schaffen das Mentalität ist der falsche Ansatz. Europa brauch Alternativen zu den proprietären Lösungen aus Übersee. Es braucht seine eigenen Lösungen. Und nichts auf dieser Welt ist von Ewigkeit. Auch nicht die marktbeherrschende quasi Monopolstellung von Google, Facebook und Microsoft. Hier müssen neue und sicherer Lösungen gefunden werden, wie Europa den digitalen Wandel erfolgreich und sicher für sich gestalten kann.

Meine Entscheidung Microsoft Windows von allen produktiven Geräten in meinem Netzwerk zu verbannen, kann ich an dieser Stelle getrost als richtig beurteilen. Diesmal ist der Kelch noch an uns vorbei geschrammt. Ich muss kein Kapersky-Lab Sicherheitsexperte sein, um zu wissen, dass auch kritische Infrastrukturen wie die Strom oder Wasserversorgung gefährdet sind. Und nun stellen wir uns mal vor, wir hätten 3 Tage keinen Strom.

Mein Dank geht hier an Frank Becker von der Hays AG, der mir freundlicher Art und Weise das Bild für diesen Blogbeitrag zur Verfügung gestellt hat.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.