Anzeige

Statue von Robin Hood

Quelle: dietrich herlan erich / Shutterstock.com

Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyber-Angriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig.

Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium.

Ransomware ist eine perfide Kryptografie-Anwendung: Die Software verschlüsselt Daten und fordert für deren Entschlüsselung ein Lösegeld. Jüngstes Opfer einer solchen Attacke ist Baltimore, die amerikanische Stadt befindet sich seit Mai in einem Ausnahmezustand: Cyber-Kriminelle haben rund 10.000 Rechner in Ämtern und städtischen Einrichtungen mit „Robin Hood“ infiziert, der Verschlüsselungstrojaner blockiert den Zugriff auf die Computer.

Weitere Teile der Infrastruktur wurden vorsichtshalber abgeschaltet, um die Verbreitung der Erpressersoftware zu verhindern. Seitdem ist das städtische E-Mail-System lahmgelegt, es können keine Rechnungen mehr verschickt oder Grundstückverkäufe abgewickelt werden, auch das Gesundheitswesen funktioniert nur eingeschränkt. Während Robin Hood, Held englischer Balladen, als Vorkämpfer für soziale Gerechtigkeit gilt, der den Reichen nimmt und den Armen gibt, geht es den Cyber-Kriminellen nur um ihren eigenen Profit. Sie erpressen die Stadt mit Lösegeldforderungen, die in der Währung Bitcoin gezahlt werden sollen. Der Bürgermeister will allerdings nicht auf die Forderungen eingehen. „Gut so, denn es gibt keine Garantie dafür, dass nach Zahlung die betroffenen Daten oder Geräte tatsächlich wieder freigegeben werden“, erklärt Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Im Gegenteil: Wer Zahlungsbereitschaft signalisiere, werde oftmals mit noch höheren Geldforderungen erpresst.

Für den Angriff auf Baltimore haben die Täter laut einem Bericht der New York Times das NSA-Tool „EternalBlue“ genutzt. EternalBlue ist der Name eines Fehlers in der Programmierung von Windows-Betriebssystemen, den der amerikanische Auslandsgeheimdienst jahrelang für eigene Zwecke ausgenutzt hat. 2016 kamen der NSA ihr eigenes Einbruchswerkzeug wie auch andere Spionageprogramme aber abhanden und wurde von einer Gruppe anonymer Hacker, die sich „The Shadow Brokers“ nannten, stückweise veröffentlicht. Seitdem wurden die Tools immer wieder für Angriffe genutzt, das vielleicht bekannteste Beispiel ist der Verschlüsselungstrojaner „WannaCry“, der im Mai 2017 mehr als 300.000 Rechner in rund 150 Ländern infizierte. In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen.

„Dass Hacker ein gestohlenes NSA-Tool einsetzen, ist die eine Sache. Die größere Frage ist doch: Wie kann es sein, dass Städte, Behörden, aber auch Unternehmen ihre Systeme bis jetzt noch nicht gegen diese Schwachstelle abgesichert haben?“, betont Jochen Koehler. Microsoft hat bereits im April 2017 Updates für die betroffenen Windows-Versionen zur Verfügung gestellt. „Die Sicherheitslücke ist also längst geschlossen und trotzdem konnten Hacker 2019, also zwei Jahre später, die Stadt Baltimore verwaltungstechnisch lahmlegen.“ Die Gründe dafür sind unterschiedlich: Bequemlichkeit, fehlende Kapazitäten oder eine über die Zeit gewachsene und dadurch unübersichtlich gewordene IT-Infrastruktur. Auch die Administratoren in Baltimore kämpfen offenbar mit einem Gewirr an Software, veralteten Servern und Netzwerken, die über die Stadt verstreut sind.

„Nun muss man ehrlicherweise zugeben, selbst ein perfekt umgesetztes Vulnerability Patch Management bietet angesichts der horrenden Zahl potenzieller Sicherheitslücken keinen hundertprozentigen Schutz“, so Jochen Koehler weiter. „Das liegt schon in der Tatsache begründet, dass herkömmliche Lösungen nur bekannten Schadcode aufspüren können. Vielmehr sollten Unternehmen deshalb darüber nachdenken, die Angreifer ins Leere laufen zu lassen.“ Möglich wird das durch Applikations-Isolation mittels Micro-Virtualisierung. Einzelne Tasks wie eine Browserabfrage oder das Öffnen eines E-Mail-Anhangs finden in einer eigenen Micro-Virtual Machine (VM) statt – strikt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk getrennt. Damit bleiben mögliche Schädigungen immer auf die jeweilige Micro-VM beschränkt, ganz egal, wie neu, alt oder aggressiv das Schadprogramm ist. Zudem wird die VM nach dem Beenden einer Aktivität, etwa dem Schließen eines Files oder eines Browser-Tabs, einfach gelöscht.

Der aktuelle Ransomware-Angriff zeigt, wie verwundbar digitale Systeme sind. Nehmen Cyber-Kriminelle kritische Infrastrukturen ins Visier, geht es oftmals nicht mehr darum, Geld zu erpressen, sondern zu sabotieren: den Strom auszuschalten, die Wasserversorgung zu manipulieren, die Kommunikation zu stören. Die Folgen sind dramatisch. „Viel zu verlieren haben aber auch ganz normale Unternehmen: Steht der Geschäftsbetrieb über einen längeren Zeitraum still, weil man nicht mehr auf wichtige Daten zugreifen kann, ist im schlimmstenfalls die Existenz zerstört“, erklärt Jochen Koehler. „Auf keinem Fall sollte man sich in Sicherheit wiegen, nach dem Motto ‚mir passiert schon nichts’. Jedem kann sein ganz eigenes ‚Baltimore’ drohen.“

www.bromium.com
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Endpoint

Mit effektivem Endpoint Management gegen die Komplexität

Die aktuelle Krise, die durch die Corona-Pandemie ausgelöst wurde, hat die Art und Weise, wie Unternehmen arbeiten, radikal verändert: Traditionelle IT-Infrastrukturen mussten umgekrempelt und dezentrale Netzwerke sowie Cloud-basierte Dienste eingeführt…
Home Office Security

Absicherung von Remote-Arbeitskräften auf Grundlage einer Zero-Trust-Sicherheits-Strategie

Die Belegschaft vieler Unternehmen arbeitet derzeit noch immer fast vollständig von Zuhause aus. Das hat natürlich Einfluss auf die Sicherheitsstrategie eines Unternehmens, da die Mitarbeiter nun nicht mehr geschützt durch die Unternehmenssicherheit Zugang zu…
Cybersecurity

Warum Zero Trust Security?

Das Zero-Trust-Modell für Datensicherheit beruht auf zwei Grundsätzen. Erstens: Vertrauen ist etwas, das missbraucht werden kann. Zweitens: Der sichere Zugriff auf Daten sollte dadurch verstärkt werden, dass der Zugriff auf Netzwerkebene autorisiert wird.
VPN

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security vor. Die meisten Unternehmen reagierten schnell und waren in der Lage, traditionelle…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!