Petya und WannaCry bestimmen IT-Sicherheitslage neu

Was ist passiert?

Im Prinzip hat die Ransomware, nachdem sie sich rasend schnell in Unternehmen und Organisationen verbreitet hat, die IT größtenteils komplett lahmgelegt. Dazu wurden Schwachstellen im Windows-Betriebssystem von Microsoft ausgenutzt. Sobald die Rechner infiziert waren, wurden die Nutzer aufgefordert, 300 US-Dollar in Bitcoins zu bezahlen. Der Angriff von Petya hat sich kurze Zeit nach dem von WannaCry ereignet. Dies war ein ebenfalls weit verbreiteter Ransomware-Angriff, der eine ähnlich verheerende Wirkung auf Unternehmen und Organisationen auf der ganzen Welt hatte. Zum Beispiel war auch der britische National Health Service (NHS) betroffen.

Eine sehr erfolgreiche Art des Angriffs, aber warum?

Die Sicherheitsupdates und Patches, die zum Schutz von IT-Systemen verwendet werden, können sich negativ auf den laufenden Betrieb der Anwendungen auswirken, die sie schützen sollen. Häufig treffen Unternehmen bewusst die Entscheidung, die neuesten Patches, die zur Verfügung stehen, nicht zu installieren, aus Angst vor langen Ausfallzeiten und den damit verbundenen negativen Auswirkungen für den laufenden Betrieb des Unternehmens.

Allerdings werden sie durch verzögerte Updates leicht Opfer eines Angriffs. Die Auswirkungen einer groß angelegten Attacke wie Petya sind allerdings weit gravierender als jeder Produktivitätsverlust, der durch die Installation von Updates und Patches verursacht werden könnte. Tata Communications hat nach dem bisherigen WannaCry Angriff eine Studie durchgeführt und herausgefunden, dass nur 10 bis 15 Prozent der Unternehmen weltweit mit den richtigen Sicherheitsmaßnahmen, aktuellsten Patches und Updates wirklich vorbereitet waren. Das zeigt also auch, dass 80 bis 85 Prozent der Unternehmen nicht das neueste Patch-Niveau erreicht hatten und dieses dann ad-hoc als Notfall-Szenario durchführen mussten. Im Fall von WannaCry hat Microsoft ein Patch-Update bereits im März dieses Jahres herausgebracht, während eine Vielzahl an Unternehmen zum Zeitpunkt des Angriffs noch den Update-Status von Januar oder Februar hatten.

Ransomware-Angriffe: Wie können sich Unternehmen dagegen schützen?

Sicherheitsupdates sind ganz offensichtlich der Schlüssel. Einige der Updates benötigen eventuell auch eine Testphase, so dass sie nicht sofort nach Erscheinen implementiert werden können. Service Provider können dabei eine wichtige Funktion übernehmen, in dem sie ihren Kunden bei der Entscheidung helfen, wie sie mit den neuesten Patches für ihre Systeme umgehen und wie sie diese implementieren sollten. Unternehmen, die einen Prozess der nachhaltigen Überwachung solcher Warnungen und eines Prozesses für Patch-Updates haben, würden in solchen Situationen vollständig geschützt sein. Dabei erhalten sie einen Überblick, über welches Patch-Niveau sie verfügen und welche Versionen ein Update benötigen. In den meisten Fällen machen Informationen darüber, wo mögliche Schwachstellen bestehen, einen entscheidenden Unterschied, ob man eine Attacke unbeschadet übersteht – oder eben nicht.

Eine starke Sicherheitsinfrastruktur bezieht sich darüber hinaus nicht nur auf ein sicheres Netzwerk, da Investitionen in Werkzeuge und Dienste zur Erkennung und Prävention von Bedrohungen vorgenommen werden müssen. Viele Unternehmen nutzen jedoch veraltete Schutzmechanismen, die sich zu stark auf Mechanismen zur Blockade und Prävention konzentrieren. In der heutigen Zeit mit den immer raffinierter werdenden Hackern sind diese Methoden im Hinblick auf die aktuellen fortschrittlichen Bedrohungen nicht mehr ausreichend. Ein „unsinkbares Schiff“ oder undurchdringliche Prävention gegen Cyber-Angreifer gibt es einfach nicht.

Um hier aufzuholen, sollte erfahrenes Personal immer auf Stand-by verfügbar sein, um Schwachstellen schnellstmöglich zu erkennen. Dabei ist entscheidend, dass die Unternehmen auf das Fachwissen und die Unterstützung von Sicherheitspartnern wie einem Managed Security Service Provider (MSSP) oder einem internen Cybersecurity-Team zurückgreifen können, um auf den Sicherheitsvorfall entsprechend reagieren zu können. Wichtig dabei ist, dass die Reaktion auf einen solchen Vorfall schnell und bestimmt stattfindet, mit der unmittelbaren Fokussierung auf die Isolierung von infizierten Systemen und Netzwerken. In unmittelbarer Nachverfolgung ist auch die Kommunikation innerhalb der Organisation kritisch – regelmäßige Aktualisierungen der Benutzerbasis werden bei der Durchführung von Aufklärungsmaßnahmen helfen und die Mitarbeiter und Kollegen auf dem neuesten Stand halten.

Welche Rolle spielt die Digitale Transformation dabei?

Infolge ihrer beispiellosen Größe und Ausmaße sind diese jüngsten Cyberattacken aus der Geschäfts- und IT-Sicherheitswelt in das breite öffentliche Bewusstsein gelangt. In Großbritannien hat die Wirkung von WannaCry auf den NHS besonderes Aufsehen erregt. Sicherheit wird in unsere Welt auch deshalb immer wichtiger, weil die Geschäftswelt einen schnellen Wandel durch neue Technologien wie 5G, Automatisierung und künstliche Intelligenz erlebt. Viele Organisationen wollen das Potenzial dieser neuen Technologien nutzen, um ihre eigene digitale Transformation voranzutreiben. Allerdings besteht ein weit verbreiteter Irrtum, dass IT-Sicherheit Innovationen einschränkt und die Umsetzung der digitalen Transformation in Unternehmen behindert und verlangsamt. Die Vernachlässigung der Sicherheit zu Beginn ihrer digitalen Reise kann nämlich in Wirklichkeit das Risiko für Bedrohungen von außen massiv erhöhen. Wer neueste Technologien nutzen möchte, der kommt um die digitale Transformation nicht herum – genauso wie um Sicherheitsmaßnahmen, um in der sich zunehmend verändernden IT-Sicherheitslage stets vor Bedrohungen geschützt zu sein. Phasen der digitalen Transformation sind daher eher als Chance zu verstehen, die eigene Unternehmenssicherheit zu stärken, während gleichzeitig die Geschäftsbereiche angepasst werden.

Srinivasan C.R. – Senior Vice President, Global Product Management & Data Centre Services bei Tata Communications