Wannacry – eine vorläufige Bilanz

19. Mai 2017
| Author:
| Blog, IT-Sicherheit, Netzangriffe
Wannacry: Screenshot

Das Thema dominierte in den letzten beiden Wochen die Fachpresse: Eine weitere Ransomware, genannt Wannacry, machte die Runde. Wie bei dieser Art von Schadsoftware üblich, verschlüsselte sie Daten auf zahlreichen, zum Teil höchst sensiblen Systemen. Dazu gehörten in diesem Fall nicht nur einige Systeme zur Anzeige von Fahrplänen auf Bahnhöfen (ein besonders medienwirksames Beispiel), sondern auch diverse Krankenhäuser in Großbritannien.

Made by NSA

Was Wannacry von anderen Beispielen für Ransomware unterscheidet, ist zum einen die Grundlage der Schadsoftware. Wannacry nutzt eine Schwachstelle im Server Message Block (SMB) von Microsoft Windows. Das geschieht durch den Exploit (Angriff unter Ausnutzung der Schwachstelle) „Eternalblue“. Eternalblue stammt aus der Sammlung von Exploits des US-Nachrichtendienstes NS, die von einer Hackertruppe unter dem Namen „Shadowbrokers“ veröffentlicht wurde.

Die andere Besonderheit dieser neuen Ransomware ist ihre wahllose Verteilung. Frühere Kryptotrojaner wie zum Beispiel „Locky“ wurden gezielt an Institutionen mit hochsensiblen Datenbeständen geschickt. Diese sind am ehesten bereit, das zur Entschlüsselung verlangte Lösegeld zu bezahlen. Wannacry dagegen wurde nicht nur wahllos, sondern sogar automatisiert verbreitet. Als sogenannter Computerwurm konnte sich die Schadsoftware selbstständig und ohne Nutzerinteraktion in ganzen Netzwerken verbreiten.

Vermeidbares Risiko

So furchterregend Wannacry und seine Wirkung klingen – die Gefahr durch diese Ransomware war von Anfang an einfach zu vermeiden. Da der ausgenutzte Exploit „Eternalblue“ bereits vor Monaten öffentlich gemacht wurde, wurde die zugehörige Schwachstelle von Microsoft in der Zwischenzeit ausgemerzt. Aktuell gehaltene Windows-Systeme waren also durch Wannacry nicht angreifbar. Auch die Verwendung einer Firewall mit üblichen Einstellungen blockiert den Angriffsweg der Schadsoftware.

Die Bilanz

Wannacry hat wieder einmal aufgezeigt, dass schon so einfache und übliche Maßnahmen wie das zügige Einspielen von Updates oder das Verwenden einer Firewall in Netzwerken die Sicherheit im IT-Bereich ungemein erhöhen. Anders herum hat die Ransomware abermals demonstriert, dass die Nutzung von veralteten, nicht mehr unterstützen Betriebssystemen wie Windows XP schlichtweg fahrlässig ist. Das gilt zumindest, wenn keine ausgleichenden Sicherheitsmaßnahmen ergriffen werden. Dass in einigen der von Wannacry befallenen Krankenhäusern in Großbritannien – offenbar aufgrund von Sparmaßnahmen – genau dieser Fehler gemacht wurde, zeigt zuletzt, dass sich Einsparungen bei IT-Sicherheit selten rechnen.

 

Bild: Wannacry-Screenshot; Lizenz: gemeinfrei (CC)

Blog, IT-Sicherheit, Netzangriffe