IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Der Angriff durch die WannaCry-Ransomware, der schätzungsweise 300.000 Nutzer in 150 Ländern getroffen hat, ist ein Weckruf für Regierungsbehörden und Unternehmen weltweit. Sie geht auf geleakte oder gestohlene Exploits der US-Amerikanischen National Security Agency (NSA) zurück, die sie zu Überwachungszwecken gesammelt hat.

Prof. Dr. Kai Rannenberg, Sprecher des Beirats der International Federation for Information Processing (IFIP) in der Gesellschaft für Informatik e.V. (GI) warnt, dass WannaCry voraussichtlich nur der erste einer Reihe von Cyber-Angriffen ist, die in den kommenden Wochen und Monaten gestartet werden. „Während wir noch nicht genau wissen, wer für die WannaCry-Angriffe verantwortlich ist, wissen wir, dass die Ransomware auf Exploits basiert, die die NSA zur Überwachung von IT-Systemen gesammelt hatte. Dies ist die erste wahrnehmbare Nutzung dieser Exploits durch Kriminelle. Es ist allerdings nur eine Frage der Zeit, bis weitere Angriffe auf die Sicherheitslücken aus dem NSA-Bestand unternommen werden", so Rannenberg.

Die WannaCry-Angriffe waren auch auf ältere Versionen des Windows-Betriebssystems gerichtet, die nicht mehr von Microsoft unterstützt werden. In IT-Umgebungen, wie dem britischen Gesundheitssystem (National Health Service – NHS), die immer noch Windows XP verwenden, sollten die IT-Verantwortlichen unbedingt aktuelle Sicherheitsupdates installieren. Den größten Schaden haben Organisationen mit veralteter Software erlitten, wie der britische NHS, sowie Organisationen in Ländern wie China und Russland, in denen Raubkopien, die keine regelmäßigen Updates erhalten, weit verbreitet sind.

IT-Verantwortliche müssen Schutzmaßnahmen mitkalkulieren

Mike Hinchey, Präsident der IFIP sieht die IT-Verantwortlichen in der Pflicht nun schnell zu handeln und sicherzustellen, dass Systeme in ihrem Bereich auf dem neuesten Stand und vor externen Bedrohungen wie Ransomware oder Spyware geschützt werden.

„In unserer zunehmend vernetzten Welt, in der Informations- und Kommunikationstechnologien alles durchdringen – von Produktions-, Versorgungs- und Logistikunternehmen über Bankensysteme bis hin zu lebensunterstützenden Geräten in Krankenhäusern – haben die Verantwortlichen für die Beschaffung, Implementierung und Instandhaltung von IT-Systemen die Pflicht dafür zu sorgen, dass kritische Infrastrukturen und Daten geschützt sind. Regierungsbehörden und Unternehmen, die Geld sparen wollen, indem sie Software-Upgrades verzögern, müssen die potenziellen Kosten dafür tragen. Der Schaden durch mangelnden Schutz der IT-Systeme gegenüber Cyber-Angriffen ist viel größer, als nur den Zugang zu einigen Informationen zu verlieren", so Hinchey.

Kai Rannenberg ergänzt: „Wie man sieht, setzen kurzsichtige Beschaffungsprozesse und Entscheider, die IKT nur zur Kostenersparnis oder Gewinnsteigerung nutzen, ohne die Kosten für eine adäquate Sicherung zu berücksichtigen, ihre Organisationen extremen Risiken und erheblichen Kosten aus. Im Zeitalter des Internets der Dinge, in dem Geräte vielfach ohne geordnetes Software- und Patchmanagement mit dem Internet verbunden werden, steigen derartige Risiken weiter an.“

„Nutzung von Exploits durch Sicherheitsbehörden ist sehr gefährlich“

Besonders die Bevorratung und die Verwendung der sogenannten Exploits durch Sicherheitsbehörden wie der NSA oder dem Bundesnachrichtendienst (BND) sind kritisch zu bewerten. Kai Rannenberg von der GI: „WannaCry zeigt, dass die Sammlung und Nutzung von Exploits durch Sicherheitsbehörden sehr gefährlich sein kann. Dem Interesse von Sicherheitsbehörden zur Überwachung von IKT-Systemen steht der Schutz von Bevölkerung und Unternehmen vor Cyber-Attacken gegenüber. Behörden sollten deshalb vorhandene Sicherheitslücken den Herstellern und (im Fall der Untätigkeit dort) der Öffentlichkeit melden, anstatt sie zum Ausspähen zu nutzen. So wären diese Cyberattacken zu verhindern gewesen. Der GI-Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit hat die verantwortliche Veröffentlichung von Sicherheitslücken schon seit Jahren gefordert – mindestens seit der Novellierung des BSI-Gesetzes 2009.“

www.gi.de

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet