Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Ben KrögerDie Angriffswelle mit einer neuen Variante der Ransomware Petya rollt und sorgt weltweit für Verunsicherung. Wie Betroffene jetzt richtig reagieren und wie sich Unternehmen auf Angriffe auf ihre Systeme vorbereiten können, erklärt Experte Ben Kröger, Leitung Professional Service, Axians IT Security.

“Nicht zahlen!” Das forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich, als sich Mitte Mai der Verschlüsselungstrojaner WannaCry verbreitete und weltweit Lösegeld von Unternehmen und Organisationen erpresste. Nun also wieder die Warnung von der Behörde und vielen IT-Sicherheitsexperten, nicht das Geschäftsmodell der Cyberkriminellen zu bedienen: Die neue Ransomware-Kampagne Petya dreht ihre Runde, legt ganze Netzwerke von Unternehmen und Behörden lahm.

Die Infizierung erfolgt anscheinend über drei Wege: So dienten an E-Mails angehängte rft-Dokumente als Vektoren, die beim Anklicken schädliche Komponenten nachladen. Diese greifen dann den Client an. In Frage kommt auch eine Schwachstelle in der Buchungssoftware MeDoc. Wie WannaCry macht Petya sich außerdem den Schadcode “Eternal Blue” zunutze, um über eine Windows-Lücke einzudringen. Der Unterschied zwischen den beiden Trojanern: Petya verschlüsselt keine Dateien, sondern einige Sektoren auf der Festplatte und löst einen Neustart aus. Anstelle eines Systemstarts erscheint jedoch eine gefälschte Fehlermeldung mit Zahlungsaufforderung. Die Ransomware sucht Lücken in den Firewalls, verbreitet sich weiter und legt so das Netzwerk lahm.

Schon kurz nach der Attacke sperrte zum Beispiel ein deutscher E-Mail-Provider das betreffende Account, sodass Opfern die Möglichkeit verwehrt war, das Lösegeld zu bezahlen. Ob es geholfen hätte, auf die Forderungen der Cyberkriminellen einzugehen, ist fraglich. Einen Versuch wert ist hingegen ein Remote-Boot, um so viel an Daten zu retten wie möglich. Dafür müssen Unternehmen die goldene Regel der IT-Security befolgen: Backup, Backup, Backup. Im Ernstfall muss der User und die IT-Abteilung in der Lage sein, Daten aus dem Backup einzuspielen – und Systeme wieder herzustellen Zuvor muss die IT-Abteilung jedoch infizierte und nicht infizierte Geräte trennen. Alle sauberen Geräte gehören in ein neues Netz. Danach wird sukzessive gesäubert und der Restore-Prozess angestoßen. Fehler dürfen in dieser Situation nicht passieren – auch wenn die IT-Mitarbeiter unter Höchstlast sind, weil sie gleichzeitig den Nutzer-Support zu leisten haben. Deshalb gilt: Ein Backup ist nur so gut wie der Testlauf für den Restore.

Die notwendige Konsequenz: Ein IT-Team muss wie die Feuerwehr üben, damit im Ernstfall jeder Handgriff sitzt. Um professionelle Angreifer abzuwehren oder die Attacke einzudämmen, brauchen die IT-Fachleute außerdem Werkzeuge an die Hand, die auf dem neuesten Stand sind. Für die Bekämpfung einer Verbreitung innerhalb des eigenen Netzwerks haben sich beispielsweise Intrusion-Prevention-Systeme (IPS) bewährt. Mit ihnen lassen sich nach einem Alarm der Datenstrom umleiten, Firewalls zwischen und in Netzwerken hochziehen, Sicherheitsrichtlinien zwischen den einzelnen Netzwerk-Segmenten etablieren und die Client-Server-Verbindung durchtrennen.

Neben regelmäßigen Sicherheitsupdates sind Lösungen wie IPS, Sandboxing und zuverlässige Backup- und Restore-Systeme zwingend notwendig. Wer nicht über sie verfügt, sollte investieren – und das nicht nur einmalig. Jeder Verantwortliche sollte sich bewusst machen: Sicherheit ist ein Prozess. Cyberkriminelle reagieren auf das Nutzerverhalten, und je größer eine Nutzergruppe wird, umso mehr macht sie sich als Ziel interessant. Deshalb werden neben Microsoft-Anwendern zunehmend auch Nutzer des Betriebssystems Android ins Visier von Cyberkriminellen geraten. Lücken, Schwachstellen und Angriffe wird es immer wieder geben. Doch die gute Nachricht: Bisher folgte auf jede Bedrohung eine Abwehrreaktion der betreffenden Anbieter und Provider. Unternehmen und Behörden müssen zudem selbst bereit sein, kontinuierlich in Schutzmaßnahmen zu investieren – sowohl in Technologie als auch in Maßnahmen zur Erhöhung des Sicherheitsbewusstseins ihrer Mitarbeiter. Diese Lehren müssen aus dem Fall Petya gezogen werden. Denn: If you think security is expensive, try no security! 

www.axians.de
 

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security