Achtung Ärzte und KMU's

Die Bedrohungslage hat sich exponentiell verschärft: Wichtige Geschäftsprozesse, vertrauliche Daten, finanzielle Ressourcen und die unterbrechungsfreie Verfügbarkeit von Anlagen und Systemen sind einem ständig wachsenden Risiko durch Zero-Second-Attacken ausgesetzt. Um das Risiko für Ihr Unternehmen zu verringern, müssen Sie smarter und besser gewappnet und informiert sein als Cyberkriminelle. Dabei brauchen Sie nicht mal mehr ein Ziel sein, um ein Opfer zu werden.

Attacke ohne Schuld

Cyber-Attacke ohne eigene Fehler

Cyber-Attacke ohne eigene Fehler

2017 bescherte vielen Unternehmen Millionenschäden durch Malware, ohne dass diese Fehler gemacht haben. Die Schadensoftware Wanna Cry, NotPetya oder der CCleaner-Vorfall zeigen, dass die eingesetzten Software viel wichtiger ist als eingesetzte Viren-Scanner oder Firewall-Vorrichtungen.

2017 hat auch aufgezeigt, dass Einrichtungen wie Krankenhäuser, Weltkonzerne, mittelständische Betriebe wie auch Klein- und Einzelbetriebe mit Malware infiziert werden kann, ohne dass ein individueller Fehler gemacht wurde. Cyber-Kriminelle und Staaten setzen zunehmend darauf, Schwachstellen auszunutzen, um ihre Ziele anzugreifen. Die Lösung klingt einfach, ist aber in der Praxis oft schwer umzusetzen. Dazu ist eine gute IT-Strategie notwendig.

Kein Mitarbeiter musste einen Link anklicken, damit Wanna Cry die Anzeigetafeln der Bahn infizieren konnte. Das gleiche war für den NotPetya-Angriff, der Fedex über 300 Millionen US-Dollar kostete, musste keiner auf Phishing hereinfallen oder ein Makro in einem Excel-Dokument ausführen. Die Angriffe wurden durch bekannte Schwachstellen in der Software freigesetzt und verbreiteten sich in wenigen Stunden rund um die Erde.

So konnte die Wanna-Cry-Malware Hunderttausende Rechner befallen, bevor ihre Ausbreitung durch einen glücklichen Zufall zwischenzeitlich gestoppt werden konnte. Die Software verschlüsselte die Daten auf den Systemen der Opfer, ohne eine Möglichkeit die Daten wiederherzustellen.

Schadprogramm von der NSA

Für den Wanna-Cry-Angriff nutzten die nordkoreanischen Angreifer ausgerechnet eine Schadsoftware von der NSA, der nationalen Sicherheitsbehörde der USA. Die Sicherheitsfirma Kaspersky taufte die Hackergruppe auf den Namen «Equation Group». Equation Group (Gleichungsgruppe) ist eine Hackergruppe, die der US-amerikanischen National Security Agency (NSA) nahestehen soll. Die Existenz der Gruppe wurde im Februar 2016 vom russischen Sicherheitsunternehmen Kaspersky Lab bekanntgegeben. gemäss Kaspersky verfügt die Gruppe über ein Arsenal hochentwickelter Schadsoftware, womit Regierungen, Unternehmen und Forschungseinrichtungen in über 30 Ländern weltweit angegriffen wurden. Kaspersky klassifizierte die Equation Group – so genannt wegen ihrer Vorliebe für ausgefeilte mathematische Verschlüsselungsmethoden als fortgeschrittene, andauernde Bedrohung.
Die Hackergruppe hackt im Auftrag der NSA seit Jahren verschiedene Ziele und verlässt sich dabei auf ein stattliches Arsenal verschiedener Schadsoftware wie auch auf Schwachstellen in verschiedenen Routern und Firewalls, wie auch auf Schwachstellen populärer Software wie Microsoft Windows oder MAC Leopard.

Für Wanna Cry wurde eine Schadsoftware mit der internen Bezeichnung Eternalblue verwendet, der eine Schwachstelle in dem veralteten Protokoll Server Message Block in Version 1 (NetBIOS) nutzt. Der Server Message Block (NetBIOS) sollte in dieser Version gar nicht mehr genutzt werden, leider setzen viele Unternehmen weiterhin auf das anfällige Protokoll.

Das Schadprogramm wurde von der Hackergruppe «Shadow Brokers» veröffentlicht. Diese Hackergruppe wird von einigen Seiten dem russischen Geheimdienst zugeordnet. Bewiesen kann man der Zusammenhang bis heute noch nicht.

Die Episode des Wanna-Cry-Angriffs zeigt deutlich, dass Nutzer sich gegen Schwachstellen hätten schützen müssen, die jahrelang unentdeckt im Besitz der Geheimdienste lagerten. Nun finden in mehreren Ländern heftige Diskussionen statt, wie Geheimdienste und andere staatliche Stellen mit Sicherheitslücken umgehen sollen. Nach der Veröffentlichung der Schwachstelle durch die Shadow Broker veröffentlichte Microsoft einen Patch für alle unterstützten Betriebssysteme, doch dieser Patch wurde in vielen Unternehmen nicht ausgeführt.

Hier präsentiert sich ein weiteres grundlegendes Problem: Ein Update zu erstellen ist nicht so einfach, wie das viele Anwender glauben. Bei einem grossen Update auf Heimcomputern kann es schon vorkommen, dass die Verwendung von wichtiger Programme anschliessend unmöglich ist. Wie auch beim MAC-Betriebssystem «High-Sierra» das voller peinlicher Fehler steckt und dringend gewechselt werden sollte.

In der Unternehmensumgebung ist das Problem noch um vieles grösser, wenn nicht nur Desktop-Rechner für alltägliche Arbeiten wie Textverarbeitung und E-Mail betroffen sind, sondern komplexe Herstellungsprozesse mit Scada-Anbindung * für Roboter und andere Werkzeuge. Dann müssen die Unternehmen auf eine Update-Freigabe von allen Zulieferer warten, bevor die schützende Software angewendet werden kann. Ohne diese Freigabe riskieren die Unternehmen Produktionsausfälle oder sogar den Verlust der Gewährleistung. (* SCADA ist keine bestimmte Technologie, sondern ein Anwendungstypus. SCADA steht für Supervisory Control And Data Acquisition, also die übergeordnete Steuerung und Datenerfassung. Jede Anwendung, die Betriebsdaten aus einem System erfasst, um dieses System zu steuern und zu optimieren, ist eine SCADA-Anwendung).

Bis ein Update eingespielt werden kann, können verwundbare Systeme nur abgeschottet werden. Das kann physisch, durch eine Firewall oder durch Yara-Regeln* geschehen, die Malware-Angriffe selbständig erkennen und blockieren können. Auch einige Antivirenlösungen hätten vor einer Infektion mit Wanna Cry geschützt. (* YARA ist ein Tool, um schädliche Dateien oder Muster verdächtiger Aktivitäten in Systemen oder Netzwerken aufzudecken, die Ähnlichkeiten aufweisen. YARA-Regeln helfen Analysten dabei, Malware-Proben zu finden, zu gruppieren und zu kategorisieren sowie Verbindungen zwischen diesen zu finden, um Malware-Familien aufzubauen und Gruppen zu entdecken, die sonst unbemerkt geblieben wären).

Update Probleme

Wenn Updates zum Problem werden

Die zweite grosse Attacke 2017 zeigt, dass auch Updates selbst zum Problem werden können. Die Buchhaltungssoftware Medoc, die in der Ukraine genutzt werden muss, ist auf fast allen Rechnern von Unternehmen vorhanden, die mit dem Steuer- und Finanzamt in der Ukraine verbunden sind. Über diesen Kanal wurde der Angriff von NotPetya ausgelöst. Die Malware verbreitete sich im internen Netz auch über den Server Message Block (NetBIOS) weiter.

Für Unternehmen ist das verhängnisvoll, denn gegen Schwachstellen in von der Regierung vorgeschriebenen Software können sie sich nur sehr schwer schützen. Da die zentralen Bereiche wie Buchhaltung und Unternehmensführung auf sehr viele Informationen aus dem Unternehmen zugreifen, ist es sehr schwer, eine wirksame Unterteilung des Netzwerkes durchzuführen.

Die Sicherheitsfirma Kaspersky erwartet für 2018 mehr solcher sogenannter Supply-Chain-Angriffe*. Diese versuchen keinen Frontalangriff auf die Sicherheitsmechanismen eines Opfers, sondern nutzen Schwachstellen in bekanntermassen verwundbarer Software. Als Beispiel zitiert Kaspersky NotPetya, aber auch die mit dem Optimierungsprogramm CCleaner in diesem Jahr ausgelieferte Malware. Diese hatte für die meisten infizierten Nutzer kaum Folgen, aktivierte aber bei bestimmten IT-Unternehmen eine zweite und eine dritte Stufe der Malware. Die Malware wurde für die Industriespionage hergestellt.
* Supply-Chain-Angriffe können passieren, wenn potentielle Hacker Zugang zu einer Infrastruktur-Entwicklungsumgebung eines Software-Unternehmens erhalten, die Serverumgebungen aufbauen, Software entwickeln oder Software aktualisieren; um dort ihre Malware in neue Software-Releases oder Sicherheitsupdates einzuschleusen.

Welche Software und welche Berechtigungen sind notwendig?

Die Unternehmen können nur, eine genaue Analyse der verwendeten Software durchzuführen. Welche Software wird für was benötigt? Welche Gefahren gehen von der Software aus? Wenn einige Mitarbeiter, für bestimmte Aufgaben, Adobe Flash benutzen müssen, dann muss der Einsatz auf diese Rechner beschränkt werden, zusammen mit einer effektiven Update-Strategie. Gemäss Kaspersky ist Flash immer noch für ca. vier Prozent der erfolgreichen Angriffe mit Schadsoftware verantwortlich. Desgleichen gilt für JAVA mit auch fast vier Prozent, weitere sechs Prozent der Angriffe werden über Office-Anwendungen ausgeführt.

Auch Antivirenlösungen sind ein Teil einer IT-Strategie. Das wichtigste für Unternehmen ist aber eine gewissenhafte Analyse der Infrastruktur und ein IT-Sicherheitskonzept, das wichtige Daten nur nach dem «nur bei Bedarf Prinzip» freigibt. Ebenso gehört Firmeninternes nicht auf ein ungeschütztes Netzlaufwerk, wie es bei Sony der Fall war.

2017 hat aufgezeigt, dass fehlende Investitionen im Bereich IT-Sicherheit für Unternehmen richtig teuer wird. Ab Mai 2018 drohen in einigen Ländern nicht nur Verluste wegen Produktionsausfall oder durch Trojaner abgezweigte Gelder, sondern drastische Strafen im Rahmen der Datenschutzverordnungen. Das gilt vor allem, wenn Unternehmen Nutzer- und Kundendaten nicht ausreichend vor Angriffen schützen.

Welche Sicherheitsmechanismen dabei genau beachtet werden müssen, um einer Haftung oder einer Strafe zu entgehen, wird zwar erst die Praxis aufzeigen. Dennoch alle Unternehmen, bei denen IT-Sicherheit nicht im Top-Management als Priorität angekommen ist, werden noch mehr Gründe haben, diese leichtsinnige Haltung zu überdenken. Da die Angreifer gewaltig aufgerüstet haben und es nicht mehr nur um kleinkriminelle Hacker geht, gibt es nur einen wirklich gewaltigen Fehler: sich nicht mit dem Thema IT-Sicherheit auseinanderzusetzen.

DER PLAN: Cyber Kriminelle ermitteln Schwachstellen und planen dann Exploits. Wenn Cyber Kriminelle keine oder zuwenig Fachkenntnisse haben, organisieren Sie sich die Zugangsdaten auf dem Schwarzmarkt.

DIE AUSRÜSTUNG: Heutzutage sind Phishing-Mails und infizierte Webseiten die Modernen Waffen der Cyber Kriminellen, um heimlich Malware auf den Handys oder PC´s der Opfer zu installieren.

DIE VORBEREITUNG: Wenn die Ablenkung nicht funktioniert, warten die Banditen darauf, dass die potentiellen Opfer auf Ihre Online-Bankkonten zugreifen, um dann die Passwörter und Benutzernamen zu stehlen. Mit einem eingeschleusten Code fügen Sie heimlich Felder zum Banking-Portal hinzu und bitten um Handynummern.

DER ZUGANG: Cyber Kriminelle brauchen keine Zahlenkombinationen für den Tresor. Sie senden Ihnen eine SMS und geben sich als Ihre Bank aus. Sie bitten ihre Opfer eine Sicherheit-App zu installieren. Die infizierte App fängt SMS-Nachrichten einschliesslich Autorisierungscodes der Bank ab.

DER ÜBERFALL: Die Cyber Kriminellen haben den Benutzernamen, das Kennwort und den Authentifizierungscode. Jetzt können sie das Konto problemlos anzapfen und leeren.

DIE FLUCHT: Die Cyber Kriminellen arbeiten mit ausgeklügelter Software. Die mobile Malware löscht sich selbst und das, ohne eine Spur zu hinterlassen.