Anzeige

Anzeige

VERANSTALTUNGEN

B2B Service Management
22.10.19 - 23.10.19
In Titanic Chaussee Hotel, Berlin

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

DILK 2019
28.10.19 - 30.10.19
In Düsseldorf

Digital X
29.10.19 - 30.10.19
In Köln

DIGITAL FUTUREcongress
05.11.19 - 05.11.19
In Essen, Halle 8 im Congress Center Ost

Anzeige

Anzeige

Der Angriff durch die WannaCry-Ransomware, der schätzungsweise 300.000 Nutzer in 150 Ländern getroffen hat, ist ein Weckruf für Regierungsbehörden und Unternehmen weltweit. Sie geht auf geleakte oder gestohlene Exploits der US-Amerikanischen National Security Agency (NSA) zurück, die sie zu Überwachungszwecken gesammelt hat.

Prof. Dr. Kai Rannenberg, Sprecher des Beirats der International Federation for Information Processing (IFIP) in der Gesellschaft für Informatik e.V. (GI) warnt, dass WannaCry voraussichtlich nur der erste einer Reihe von Cyber-Angriffen ist, die in den kommenden Wochen und Monaten gestartet werden. „Während wir noch nicht genau wissen, wer für die WannaCry-Angriffe verantwortlich ist, wissen wir, dass die Ransomware auf Exploits basiert, die die NSA zur Überwachung von IT-Systemen gesammelt hatte. Dies ist die erste wahrnehmbare Nutzung dieser Exploits durch Kriminelle. Es ist allerdings nur eine Frage der Zeit, bis weitere Angriffe auf die Sicherheitslücken aus dem NSA-Bestand unternommen werden", so Rannenberg.

Die WannaCry-Angriffe waren auch auf ältere Versionen des Windows-Betriebssystems gerichtet, die nicht mehr von Microsoft unterstützt werden. In IT-Umgebungen, wie dem britischen Gesundheitssystem (National Health Service – NHS), die immer noch Windows XP verwenden, sollten die IT-Verantwortlichen unbedingt aktuelle Sicherheitsupdates installieren. Den größten Schaden haben Organisationen mit veralteter Software erlitten, wie der britische NHS, sowie Organisationen in Ländern wie China und Russland, in denen Raubkopien, die keine regelmäßigen Updates erhalten, weit verbreitet sind.

IT-Verantwortliche müssen Schutzmaßnahmen mitkalkulieren

Mike Hinchey, Präsident der IFIP sieht die IT-Verantwortlichen in der Pflicht nun schnell zu handeln und sicherzustellen, dass Systeme in ihrem Bereich auf dem neuesten Stand und vor externen Bedrohungen wie Ransomware oder Spyware geschützt werden.

„In unserer zunehmend vernetzten Welt, in der Informations- und Kommunikationstechnologien alles durchdringen – von Produktions-, Versorgungs- und Logistikunternehmen über Bankensysteme bis hin zu lebensunterstützenden Geräten in Krankenhäusern – haben die Verantwortlichen für die Beschaffung, Implementierung und Instandhaltung von IT-Systemen die Pflicht dafür zu sorgen, dass kritische Infrastrukturen und Daten geschützt sind. Regierungsbehörden und Unternehmen, die Geld sparen wollen, indem sie Software-Upgrades verzögern, müssen die potenziellen Kosten dafür tragen. Der Schaden durch mangelnden Schutz der IT-Systeme gegenüber Cyber-Angriffen ist viel größer, als nur den Zugang zu einigen Informationen zu verlieren", so Hinchey.

Kai Rannenberg ergänzt: „Wie man sieht, setzen kurzsichtige Beschaffungsprozesse und Entscheider, die IKT nur zur Kostenersparnis oder Gewinnsteigerung nutzen, ohne die Kosten für eine adäquate Sicherung zu berücksichtigen, ihre Organisationen extremen Risiken und erheblichen Kosten aus. Im Zeitalter des Internets der Dinge, in dem Geräte vielfach ohne geordnetes Software- und Patchmanagement mit dem Internet verbunden werden, steigen derartige Risiken weiter an.“

„Nutzung von Exploits durch Sicherheitsbehörden ist sehr gefährlich“

Besonders die Bevorratung und die Verwendung der sogenannten Exploits durch Sicherheitsbehörden wie der NSA oder dem Bundesnachrichtendienst (BND) sind kritisch zu bewerten. Kai Rannenberg von der GI: „WannaCry zeigt, dass die Sammlung und Nutzung von Exploits durch Sicherheitsbehörden sehr gefährlich sein kann. Dem Interesse von Sicherheitsbehörden zur Überwachung von IKT-Systemen steht der Schutz von Bevölkerung und Unternehmen vor Cyber-Attacken gegenüber. Behörden sollten deshalb vorhandene Sicherheitslücken den Herstellern und (im Fall der Untätigkeit dort) der Öffentlichkeit melden, anstatt sie zum Ausspähen zu nutzen. So wären diese Cyberattacken zu verhindern gewesen. Der GI-Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit hat die verantwortliche Veröffentlichung von Sicherheitslücken schon seit Jahren gefordert – mindestens seit der Novellierung des BSI-Gesetzes 2009.“

www.gi.de

GRID LIST
Cloud

A1 Digital und Thales bieten sicheres Cloud-Zugriffsmanagement

Auf der it-sa 2019 in Nürnberg kündigte der Anbieter von praxisorientierten…
Tb W190 H80 Crop Int F665398563bac2af251d01c005aa2832

iTSM Group beschleunigt Integration mit ONEiO

Mit ONEiO hat das Beratungsunternehmen iTSM Group einen neuen Partner gefunden, dessen…
Tb W190 H80 Crop Int D2f533fbb718108efc3cb96bf3c786bd

Apple, Google und Amazon bleiben wertvollste Marken

Apple, Google, Amazon und Microsoft bleiben in der Rangliste der Marktforschungsfirma…
Puzzle

SAS und Red Hat erweitern Partnerschaft

SAS erweitert die Partnerschaft mit Red Hat. Ab sofort steht damit Analytics-Technologie…
Tb W190 H80 Crop Int D8893529f36525c7eafe32fd73186cb5

Libra-Assoziation geht mit 21 Mitgliedern an den Start

Die Libra-Assoziation, die die von Facebook entwickelte Digitalwährung verwalten soll,…
Tb W190 H80 Crop Int 49eb68de66203df26381654d9d5b4048

Sicherheitskatalog für 5G-Netzausbau enthält keine Anti-Huawei-Regeln

Die Kombination von Huawei und 5G lässt mancherorts die Alarmglocken schrillen - die…