logo ntadmins

Patchen, patchen, patchen!

15. Mai 2017
Ransomware weiter auf dem Vormarsch

Die Ransomware „WannaCry“ hat zugeschlagen. Und zwar nicht sporadisch und ungeplant  sondern gezielt, systematisch und effektiv. Durch die Ausnutzung von (eigentlich bekannten) Sicherheitslücken im SMB-Protokoll von Windows (Server Message Block) konnte sich der Schädling zudem im Netzwerk weiterbewegen. Sprich nach einer Infektion (etwa per E-Mail-Dateianhang) versucht die Ransomware ohne weiteres Zutun andere Systeme im gleichen Subnetz zu erreichen, und diese ebenfalls zu befallen. Allerdings sind nicht alle Geräte gleichermaßen gefährdet. Bei neueren Betriebssystemen (etwa Windows 10) sowie ältere Systeme mit den entsprechenden Sicherheitsupdates ist diese Lücke nicht vorhanden, beziehungsweise geschlossen.

Daher zählen zu den WannaCry-Opfern vor allem Systeme mit veralteten Betriebssystemen (etwa Windows XP), oder neueren Systemen, bei denen die Verantwortlichen das entsprechende Update nicht installiert hatten (MS17-010). Dieser Hotfix wurde von Microsoft bereits am 14. März bereitgestellt. Und wurde nicht auf alle Systeme aufgespielt. Verantwortungsbewussten Administratoren stellen sich nun – zu Recht – die Frage: „Wer macht den sowas?

Anscheinend ist die Antwort recht einfach. Denn es sind (aus Kostengründen) noch sehr viele Systeme mit dem veralteten Windows XP im Einsatz. Und zwar fristen diese Geräte als Fahrkartenautomat, Anzeigetafel-System oder Fahrkartenautomat weiterhin ihr Dasein. Einige Systeme sind zudem noch bei „Omi“ zu finden, hier wird gesurft und es werden E-Mails empfangen sowie versendet – alles mit dem guten, alten „XP“.

Ebenfalls aus Kostengründen werden derartige Altgeräte in der Regel kaum gepflegt, Updates werden nicht installiert, und proaktive Sicherheitssysteme sind auf Fahrkartenautomaten in der Regel ebenfalls nicht zu finden. Getreu dem Motto: „Never change a running system!“ bleiben diese Geräte oftmals ungepatched bis zum Sankt Nimmerleinstag im Einsatz – quasi bis die Hardware aufgibt.

Erfolgreiche Ransomware-Attacken erzeugen ein gewaltiges Echo in den Medien, sozialen Netzwerken, und beim Gespräch im Unternehmen, besonders wenn einige der firmeninternen Geräte „verseucht“ wurden. Dabei entbrennt oftmals die Diskussion, wer denn nun Schuld hat an der ganzen Miesere. Liegt es an Microsoft, die mal wieder „Mist“ gebaut haben? Oder am „nutzlosen“ Virenscanner von AVG, Avira, Kaspersky, Sophos oder GDATA? Vermutlich ist die NSA schuld, denn die haben die Lücke je angeblich selbst genutzt, um heimlich zu spionieren. Alles falsch, so der Nächste: Schuld sind die Urheber, also russische Hackerbanden!

Aufmerksamen Administratoren sollte dabei auffallen: befallen wurden veraltete, ungepatchte Systeme. Und was predigen die IT-Verantwortlichen tagein, tagaus?

Eine effektive IT-Security benötigt ein mehrstufiges Konzept. Und das beginnt mit aktuellen Betriebssystemen, führt über regelmäßige Aktualisierungen und Patches bis zu unterschiedlichen reaktiven Schutzmaßnahmen (Virenscanner) geht weiter mit proaktiven Systemen, Applikation-Control sowie Sandboxing und endet bei der Unterteilung des Firmennetzwerks in verschiedenen Subnetzwerke.

Als letzte Verteidigungslinie sollte dann noch ein funktionierendes Backup bereitstehen. Und zwar erzeugen vorausschauende Administratoren die Backup-Datensätzen auf unterschiedlichen Medien, sowohl auf Online-Ressourcen (etwa NAS, Cloud-Speicherplatz, Backup-Appliance)als auch auf Offline-Medien (externe HDDs, Magnetbänder, Wechseldatenträger).

Wenn mehrstufige Security-Konzepte zu teuer sind, warum wurden die Systeme dann nicht wenigstens gepatcht? Die Microsoft-Sicherheitsupdates werden ja kostenlos zu Verfügung gestellt. Nun gut, nicht immer für alle Betriebssysteme. Etwa Uraltgeräte mit Windows-XP, bei denen der Support inzwischen seit Jahren abgelaufen ist (8. April 2014), kommen in der Regel nicht in den „Genuss“ von aktuellen Updates. Trotz alledem hat Microsoft auf WannaCry reagiert und entsprechende Patches sogar für derartige Systeme zur Verfügung gestellt.

Hier nochmals eine Checkliste, um gegen Ransomware-Attacken gerüstet zu sein:

  • Aktuelle Betriebssysteme einsetzen,
  • immer alle Aktualisierungen und Patches einspielen,
  • Anti-Maleware-Software nutzen,
  • proaktive Schutzsysteme implementieren,
  • Berechtigungen entsprechend verteilen,
  • besonders gefährdete Abteilungen netzwerkmäßig vom Rest trennen (Subnetze, VLANs),
  • Sandboxing einsetzen (beim Öffnen von Dateien, und dem Surfen im Internet),
  • Application-Control und „Whitelisting“ verwenden sowie
  • über ein mehrstufiges Backup-Konzept verfügen, das regelmäßig geprüft wird.

Das alles ist zu teuer, zu aufwendig, zu schwer zu warten, und dauert zu lange um es einzuführen? Dann wird die nächste Ransomware-Attacke vermutlich wieder für Gesprächsstoff in den Firmen sorgen. Wichtig ist dann bestimmt die Frage nach den Verantwortlichen: Hat Microsoft wieder Mist gebaut? Ist der Virenscanner schuld? Was hat die NSA nun heimlich ausgenutzt, und welche Hackerbanden stecken jetzt dahinter?

Florian Huttenloher

Lesen Sie auch

Windows Teams Integration Screen

Entscheidungshilfe: Das ist beim Umstieg auf Windows 11 zu beachten

smartphone Steve Buissinne auf Pixabay

Windows 365: der Cloud-PC für die hybriden Arbeitswelten

b

Windows 11 für Admins: Überblick, erste Informationen und die Vorabversion