Anzeige

Statue von Robin Hood

Quelle: dietrich herlan erich / Shutterstock.com

Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyber-Angriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig.

Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium.

Ransomware ist eine perfide Kryptografie-Anwendung: Die Software verschlüsselt Daten und fordert für deren Entschlüsselung ein Lösegeld. Jüngstes Opfer einer solchen Attacke ist Baltimore, die amerikanische Stadt befindet sich seit Mai in einem Ausnahmezustand: Cyber-Kriminelle haben rund 10.000 Rechner in Ämtern und städtischen Einrichtungen mit „Robin Hood“ infiziert, der Verschlüsselungstrojaner blockiert den Zugriff auf die Computer.

Weitere Teile der Infrastruktur wurden vorsichtshalber abgeschaltet, um die Verbreitung der Erpressersoftware zu verhindern. Seitdem ist das städtische E-Mail-System lahmgelegt, es können keine Rechnungen mehr verschickt oder Grundstückverkäufe abgewickelt werden, auch das Gesundheitswesen funktioniert nur eingeschränkt. Während Robin Hood, Held englischer Balladen, als Vorkämpfer für soziale Gerechtigkeit gilt, der den Reichen nimmt und den Armen gibt, geht es den Cyber-Kriminellen nur um ihren eigenen Profit. Sie erpressen die Stadt mit Lösegeldforderungen, die in der Währung Bitcoin gezahlt werden sollen. Der Bürgermeister will allerdings nicht auf die Forderungen eingehen. „Gut so, denn es gibt keine Garantie dafür, dass nach Zahlung die betroffenen Daten oder Geräte tatsächlich wieder freigegeben werden“, erklärt Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Im Gegenteil: Wer Zahlungsbereitschaft signalisiere, werde oftmals mit noch höheren Geldforderungen erpresst.

Für den Angriff auf Baltimore haben die Täter laut einem Bericht der New York Times das NSA-Tool „EternalBlue“ genutzt. EternalBlue ist der Name eines Fehlers in der Programmierung von Windows-Betriebssystemen, den der amerikanische Auslandsgeheimdienst jahrelang für eigene Zwecke ausgenutzt hat. 2016 kamen der NSA ihr eigenes Einbruchswerkzeug wie auch andere Spionageprogramme aber abhanden und wurde von einer Gruppe anonymer Hacker, die sich „The Shadow Brokers“ nannten, stückweise veröffentlicht. Seitdem wurden die Tools immer wieder für Angriffe genutzt, das vielleicht bekannteste Beispiel ist der Verschlüsselungstrojaner „WannaCry“, der im Mai 2017 mehr als 300.000 Rechner in rund 150 Ländern infizierte. In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen.

„Dass Hacker ein gestohlenes NSA-Tool einsetzen, ist die eine Sache. Die größere Frage ist doch: Wie kann es sein, dass Städte, Behörden, aber auch Unternehmen ihre Systeme bis jetzt noch nicht gegen diese Schwachstelle abgesichert haben?“, betont Jochen Koehler. Microsoft hat bereits im April 2017 Updates für die betroffenen Windows-Versionen zur Verfügung gestellt. „Die Sicherheitslücke ist also längst geschlossen und trotzdem konnten Hacker 2019, also zwei Jahre später, die Stadt Baltimore verwaltungstechnisch lahmlegen.“ Die Gründe dafür sind unterschiedlich: Bequemlichkeit, fehlende Kapazitäten oder eine über die Zeit gewachsene und dadurch unübersichtlich gewordene IT-Infrastruktur. Auch die Administratoren in Baltimore kämpfen offenbar mit einem Gewirr an Software, veralteten Servern und Netzwerken, die über die Stadt verstreut sind.

„Nun muss man ehrlicherweise zugeben, selbst ein perfekt umgesetztes Vulnerability Patch Management bietet angesichts der horrenden Zahl potenzieller Sicherheitslücken keinen hundertprozentigen Schutz“, so Jochen Koehler weiter. „Das liegt schon in der Tatsache begründet, dass herkömmliche Lösungen nur bekannten Schadcode aufspüren können. Vielmehr sollten Unternehmen deshalb darüber nachdenken, die Angreifer ins Leere laufen zu lassen.“ Möglich wird das durch Applikations-Isolation mittels Micro-Virtualisierung. Einzelne Tasks wie eine Browserabfrage oder das Öffnen eines E-Mail-Anhangs finden in einer eigenen Micro-Virtual Machine (VM) statt – strikt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk getrennt. Damit bleiben mögliche Schädigungen immer auf die jeweilige Micro-VM beschränkt, ganz egal, wie neu, alt oder aggressiv das Schadprogramm ist. Zudem wird die VM nach dem Beenden einer Aktivität, etwa dem Schließen eines Files oder eines Browser-Tabs, einfach gelöscht.

Der aktuelle Ransomware-Angriff zeigt, wie verwundbar digitale Systeme sind. Nehmen Cyber-Kriminelle kritische Infrastrukturen ins Visier, geht es oftmals nicht mehr darum, Geld zu erpressen, sondern zu sabotieren: den Strom auszuschalten, die Wasserversorgung zu manipulieren, die Kommunikation zu stören. Die Folgen sind dramatisch. „Viel zu verlieren haben aber auch ganz normale Unternehmen: Steht der Geschäftsbetrieb über einen längeren Zeitraum still, weil man nicht mehr auf wichtige Daten zugreifen kann, ist im schlimmstenfalls die Existenz zerstört“, erklärt Jochen Koehler. „Auf keinem Fall sollte man sich in Sicherheit wiegen, nach dem Motto ‚mir passiert schon nichts’. Jedem kann sein ganz eigenes ‚Baltimore’ drohen.“

www.bromium.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!