WannaCry bringt mich vor Wut zum Weinen!

Zufällige und leicht ungeordnete Gedanken über die Ursachen des größten Cyber-Angriffs auf die IT-Sicherheit und meine Verzweigungen über die Ignoranz der Verantwortlichen.

Als ich vor wenigen Tagen zum ersten Mal über den WannaCry-Ransomware-Angriff hörte, ratterte mein mein Gehirn sofort auf Hochtouren und sann über die Ursachen und die Auswirkungen dieses globalen Vorfalls nach:

1. Ransomware ist nach wie vor ein blendendes Wachstumsgeschäft, und mit einem Bisschen an Arbeit kann sich so ein Angreifer eine gute Rendite erwirtschaften. Nach Schätzungen des FBIs wurden im Jahr 2016 allein in den USA für Ransomware-Zahlungen etwa 1 Milliarde Dollar ausgegeben. Leider gibt es hier keine verlässlichen Statistiken, aber ich glaube, dass in diesem Jahr diese Zahl um sicherlich 100 Prozent übertroffen wird. Trotz der Schäden und des Aufruhrs über die massiven Ransomware-Angriffe, wird es sicher noch lange dauern, bevor die Welt die IT-Sicherheit richtig ernst nimmt.
2. Für diejenigen von uns, die sich schon seit einer Weile mit der Cyber-Security beschäftigen, sorgt WannaCry für wehmütige Erinnerungen an die Internet-Würmer aus den 2000er Jahren: Code-Red, Conficker, MSBlast, Nimda, etc. Man hat inzwischen festgestellt, dass sobald eine Person in einem Netzwerk mit WannaCry infiziert war, diese andere anfällige Systeme im Netzwerk infizierte. Mir war immer klar, dass diese Wurm-Techniken nur eine Zeitlang schliefen und irgendwann aus dem Nichts wieder auftauchen würden. Jedoch dachte ich, die Würmer würden nur als Vernebelungstaktig genutzt werden, um gleichzeitig andere Angriffe ausführen zu können.
3. Wer mich kennt, weiß, dass ich mich seit Jahren über den Kompetenzmangel im Bereich der Cyber-Sicherheit in den Unternehmen ärgere. Trotz aller Mahnungen wird es nicht besser. Umfragen und Analysen zeigen auf, dass in etwa 45 Prozent der Unternehmen ein eklatanter Mangel an Cyber-Security-Wissen herrscht. Somit sind die Auswirkungen von Ransomware wie beispielsweise WannaCry nur ein Abbild des Wissensmangels. Wir verfügen einfach nicht über genug ausgebildete Sicherheitsleute, die unsere IT-Systeme scannen, analysieren und pflegen können. Auch haben wir meist keine Abwehrmechanismen, wenn uns ein Angriff trifft.
4. Auch das Patchen der von den Unternehmen genutzten Software wird auch weiterhin eine arbeitsintensive Aufgabe darstellen. Aber man kann sich des Eindrucks nicht erwehren, dass die Sicherheits-Patches für den normalen IT-Betrieb keine oder eine sehr untergeordnete Rolle spielt. Ich bin mir auch sicher, dass in vielen mittleren und großen Unternehmen (eventuell mit vielen Tausend Windows-Systemen) noch immer nicht der Windows-Sicherheits-Patch vom vergangenen März vollständig eingespielt wurde. In einigen Marktsegmenten (beispielsweise im Gesundheitswesen oder in einigen Großfirmen) muss ein solcher Patch langwierig von einem Regulierer bzw. einer entsprechend aufgestellten Fachabteilung freigegeben werden. Ein solcher Prozess kann schon einmal ein halbes Jahr dauern.
5. Es ist wahr, die Cyber-Security geht auch die Unternehmensleitung an. Deshalb erlaube ich mir hier einen Vorschlag an alle verantwortlichen Personen zu machen: Um ihre Cyber-Security deutlich zu verbessern, sollte Ihr Unternehmen einen Plan entwickeln, der dafür sorgt, dass alle Windows-XP oder ähnlich „antiquierte“ Systeme so schnell wie möglich verschwinden. Ist ein Unternehmen ernsthaft an der Minderung von Cyber-Risiken interessiert, dann müssen die Altsysteme schnellstmöglich abgelöst werden.
6. Viele Unternehmen sichern ihre Daten noch immer nicht regelmäßig durch ein Backup. Wir wissen, wie wichtig Backups (auch der Endgeräte) sind und wir kennen die großen Schwachstellen. Meist werden die Serverdaten gesichert, aber die Nutzerdaten auf den PCs und Laptops werden nicht in das Backup-Konzept einbezogen.
7. Durch WannaCry kamen in einigen Ländern viele Einrichtungen des Gesundheitswesens zu Schaden. Die meisten der betroffenen Geräte wurden als Standalone-PCs betrieben. Solche Rechnerkonfigurationen eignen sich hervorragend für die Desktop-Virtualisierung. Wenn Ransomware wieder zuschlagen sollte, installiert man einfach ein neues Image auf dem betroffenen Rechner und kann sofort weiterarbeiten.
8. Einige AV-Hersteller (beispielsweise Cybereason) bietet ein kostenloses Ransomware-Schutzwerkzeug an. Daher frage ich mich, warum andere AV-Anbieter kein ähnliches Tool verteilen?
9. Immer wieder wurde darüber spekuliert, dass die durch WannaCry genutzte Lücke und auch Teile von WannaCry von der NSA gestohlen wurden. Wenn das stimmen würde, hätten die amerikanischen Anwälte sicher viel zu tun und würden die Regierung auf Schadensersatz verklagen. Unabhängig davon ist es sicher an der Zeit, dass die Militärs und die Geheimdienste, ihre Obsession für offensive Cyber-Waffen aufgeben und sich an einer ernsthaften Diskussion über internationale Cyber-Regeln beteiligen. WannaCry ist kein einmaliger Angriff. Sobald ähnliche anspruchsvolle Werkzeuge und Zero-Day-Schwachstellen ihren Weg zu Cyberkriminellen finden, werden die NSA-Cyber-Techniken gegen den Rest der Welt genutzt werden.
10. Der Schaden aus dem WannaCry-Ransomware-Angriff wird weiter anwachsen. Die Schadenshöhe ist jedoch noch immer nicht hoch genug, um wirkliche Veränderungen in der Cybersicherheit zu bewirken. Laut der New York Times wurden mehr als 200.000 Maschinen in mehr als 150 Ländern infiziert, aber die Antworten, die von uns diskutiert werden, konzentrieren sich immer noch um Patches und Passwörter, Updates und Antivirus, Backups und Notfallpläne. Sicher, diese Art von Gegenmaßnahme kann das individuelle Risiko reduzieren und wahrscheinlich wird dem Einzelnen auch bei der Abwehr eines ganz bestimmten Angriffs geholfen. Aber WannaCry trägt auch Anzeichen einer staatlich geförderten Aktion und ist nur die jüngste Variante in einer unendlichen Parade neuer Sicherheitsangriffe, Schwachstellen und Krisen.

Die eigentliche Frage besteht darin, warum das gängige Sicherheitssystem trotz seiner inhärenten Unsicherheit für viele große Interessensgruppen so gut funktioniert? Hier sind ein paar Antworten:

• Die Kriminelle verfügen damit über eine lukrative Geldquelle, die in einer immer komplexeren Welt, nur schwer trockengelegt werden kann.
• Es gibt große Länder, die Cyberattacken sponsern. Ihnen zugrunde liegt die Idee des asymmetrischen digitalen Krieges gegen größere, reichere Länder.
• Die reichen und mächtigen Nationen sind damit beschäftigt, ihre eigenen Cyber-Waffen zu entwickeln. Diese sind so von ihren IT-Waffen überzeugt, dass diese sogar das Risiko eingehen, dass diese sich gegen die eigene Bevölkerung richten könnte.
• Die Sicherheitsunternehmen und -Berater verfügen über eine nie endende Geschäftsquelle.
• Die Hardware- und Softwarehersteller können ihre Produkte zu niedrigeren Preisen auf den Markt werfen, weil diese nicht kostspielige gehärtet werden müssen. Die durch diese „unsicheren“ Produkte entstehenden Kosten werden jedoch anderswo in der Prozesskette bezahlt.

Fazit

Trotz des Schreckens den WannaCry verursacht hat, sehe ich dieses Ereignis nicht als große Katastrophe an. Die Unternehmen werden diesen Angriff schnell abschütteln, die unangenehmen -aber letztlich akzeptablen – Kosten schultern und zur Tagesordnung zurückkehren. Es wird sicher noch eine Menge an WannaCrys notwendig sein, bis wir unsere liebgewordenen Prozesse ändern und uns ernsthaft mit der Cyber-Securtity beschäftigen. Wahrscheinlich bedarf es für eine nachhaltige Änderung des Umgangs mit der Sicherheit eines katastrophalen Angriffs, der zu einem bedeutenden Verlust an Daten und Ressourcen (und im schlimmsten Fall von Leben) führt.

#Netzpalaver-Info: Die wichtigsten Maßnahmen gegen WannaCry und Kommentare von Herstellern und Security-Evangelisten – eine Timeline.