- Anzeigen -


Sie sind hier: Home » Markt » Kommentare & Meinungen

Remote-Boot: So viel an Daten retten wie möglich


Was die bedrohliche Ransomware-Kampagne Petya lehrt
Nicht zahlen, sondern investieren – und trainieren

- Anzeigen -





Eine neue Variante der Ransomware Petya sorgt weltweit für Verunsicherung. Wie Betroffene richtig reagieren und wie sich Unternehmen auf Angriffe auf ihre Systeme vorbereiten können, erklärt Experte Ben Kröger, Leitung Professional Service, Axians IT Security, in einem Statement.

"Nicht zahlen!" Das forderte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich, als sich Mitte Mai der Verschlüsselungstrojaner WannaCry verbreitete und weltweit Lösegeld von Unternehmen und Organisationen erpresste. Nun also wieder die Warnung von der Behörde und vielen IT-Sicherheitsexperten, nicht das Geschäftsmodell der Cyberkriminellen zu bedienen: Die neue Ransomware-Kampagne Petya dreht ihre Runde, legt ganze Netzwerke von Unternehmen und Behörden lahm.

Die Infizierung erfolgt anscheinend über drei Wege: So dienten an E-Mails angehängte rft-Dokumente als Vektoren, die beim Anklicken schädliche Komponenten nachladen. Diese greifen dann den Client an. In Frage kommt auch eine Schwachstelle in der Buchungssoftware MeDoc. Wie WannaCry macht Petya sich außerdem den Schadcode "Eternal Blue" zunutze, um über eine Windows-Lücke einzudringen. Der Unterschied zwischen den beiden Trojanern: Petya verschlüsselt keine Dateien, sondern einige Sektoren auf der Festplatte und löst einen Neustart aus. Anstelle eines Systemstarts erscheint jedoch eine gefälschte Fehlermeldung mit Zahlungsaufforderung. Die Ransomware sucht Lücken in den Firewalls, verbreitet sich weiter und legt so das Netzwerk lahm.

Schon kurz nach der Attacke sperrte zum Beispiel ein deutscher E-Mail-Provider das betreffende Account, sodass Opfern die Möglichkeit verwehrt war, das Lösegeld zu bezahlen. Ob es geholfen hätte, auf die Forderungen der Cyberkriminellen einzugehen, ist fraglich. Einen Versuch wert ist hingegen ein Remote-Boot, um so viel an Daten zu retten wie möglich. Dafür müssen Unternehmen die goldene Regel der IT-Security befolgen: Backup, Backup, Backup.

Im Ernstfall muss der User und die IT-Abteilung in der Lage ihr, Daten aus dem Backup einzuspielen – und Systeme wieder herzustellen Zuvor muss die IT-Abteilung jedoch infizierte und nicht infizierte Geräte trennen. Alle sauberen Geräte gehören in ein neues Netz. Danach wird sukzessive gesäubert und der Restore-Prozess angestoßen. Fehler dürfen in dieser Situation nicht passieren – auch wenn die IT-Mitarbeiter unter Höchstlast sind, weil sie gleichzeitig den Nutzer-Support zu leisten haben. Deshalb gilt: Ein Backup ist nur so gut wie der Testlauf für den Restore.

Die notwendige Konsequenz: Ein IT-Team muss wie die Feuerwehr üben, damit im Ernstfall jeder Handgriff sitzt. Um professionelle Angreifer abzuwehren oder die Attacke einzudämmen, brauchen die IT-Fachleute außerdem Werkzeuge an die Hand, die auf dem neuesten Stand sind. Für die Bekämpfung einer Verbreitung innerhalb des eigenen Netzwerks haben sich beispielsweise Intrusion-Prevention-Systeme (IPS) bewährt. Mit ihnen lassen sich nach einem Alarm der Datenstrom umleiten, Firewalls zwischen und in Netzwerken hochziehen, Sicherheitsrichtlinien zwischen den einzelnen Netzwerk-Segmenten etablieren und die Client-Server-Verbindung durchtrennen.

Neben regelmäßigen Sicherheitsupdates sind Lösungen wie IPS, Sandboxing und zuverlässige Backup- und Restore-Systeme zwingend notwendig. Wer nicht über sie verfügt, sollte investieren – und das nicht nur einmalig. Jeder Verantwortliche sollte sich bewusst machen: Sicherheit ist ein Prozess. Cyberkriminelle reagieren auf das Nutzerverhalten, und je größer eine Nutzergruppe wird, umso mehr macht sie sich als Ziel interessant. Deshalb werden neben Microsoft-Anwendern zunehmend auch Nutzer des Betriebssystems Android ins Visier von Cyberkriminellen geraten.

Lücken, Schwachstellen und Angriffe wird es immer wieder geben. Doch die gute Nachricht: Bisher folgte auf jede Bedrohung eine Abwehrreaktion der betreffenden Anbieter und Provider. Unternehmen und Behörden müssen zudem selbst bereit ihr, kontinuierlich in Schutzmaßnahmen zu investieren – sowohl in Technologie als auch in Maßnahmen zur Erhöhung des Sicherheitsbewusstseins ihrer Mitarbeiter. Diese Lehren müssen aus dem Fall Petya gezogen werden. Denn: If you think security is expensive, try no security!
(Axians IT Security: ra)

eingetragen: 10.07.17
Home & Newsletterlauf: 08.08.17


Axians IT Security: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Kommentare und Meinungen

  • Sicherheitsschwächen in Mikroprozessoren

    Die Prozessor-Sicherheitslücken Meltdown und Spectre halten seit Jahresbeginn die gesamte IT-Branche in Atem, denn aus ihr ergeben sich nicht nur über ein Dutzend Angriffsmöglichkeiten. Mögliche Attacken hinterlassen nicht einmal Spuren in traditionellen Log-Dateien. Betroffen sind die Chip-Hersteller Intel, AMD und ARM - und mit ihnen praktisch jeder in Computern verbaute Prozessor seit den 90er Jahren. Nun meldet sich Christian Heutger, IT-Sicherheitsexperte, zu Wort: "Das Ausmaß ist kaum zu fassen. Die Rede ist nicht nur von Prozessoren, die in unseren privaten wie geschäftlichen IT-Geräten und Smartphones verbaut sind. Sie sind auch in Krankenhäusern, Kraftwerken, in Netzwerkservern - also in Systemen, die Teil Kritischer Infrastruktur sind - verbaut".

  • Spectre und das Risiko

    Mit Meltdown und Spectre hat das noch junge Jahr bereits echte Ausrufezeichen in Sachen IT-Sicherheit gesetzt. Die beiden Schwachstellen sind vor allem deshalb echte "Meilensteine", da sie einerseits fast alle Nutzer weltweit betreffen, andererseits auf einer bislang eher vernachlässigten Ebene, nämlich der der Prozessoren, auftreten. Wenn man einmal die technischen Details von Spectre beiseite lässt, ergeben sich für Unternehmen fundamental neue Herausforderungen. Dies betrifft zuallererst die Frage des IT-Sicherheitsrisikos und wie es zu messen ist. Mittlerweile spielt (Informations-)Technologie in nahezu jedem Unternehmen vom kleinen Handwerksbetrieb bis zum Weltkonzern eine wesentliche Rolle - und Spectre führt uns vor, dass es im Grunde keinen Bereich mehr gibt (sei es Hardware oder Software), der immun gegen potenziell lähmende Sicherheitslücken ist.

  • Kryptowährung Monero schürfen

    Sicherheitsexperten von CrowdStrike haben eine neue Malware dokumentiert, die es nicht auf Erpressungsgeld oder Daten, sondern auf Rechenleistung abgesehen hat. WannaMine, so der Name des Schädlings, basiert auf Angriffsmethoden, die eigentlich vom US-Geheimdienst NSA entwickelt wurden und bereits in WannaCry zum Einsatz kamen. Doch WannaMine verschlüsselt keine Daten, sondern zieht von infizierten Systemen ohne entsprechende Authentifizierung Rechenleistung ab, um die Kryptowährung Monero zu schürfen.

  • Superbugs beschädigen Glaubwürdigkeit

    Ein schwerwiegender Konstruktionsfehler in allen in den letzten zehn Jahren veröffentlichten Intel-CPUs mit x86-Chips bietet Hackern einen Angriffspunkt. Durch diese Sicherheitslücke, 'Meltdown' genannt, sind auch Prozessoren von ARM und AMD gefährdet. Zur Problembehebung ist ein Update des Betriebssystems notwendig, wobei nicht nur Windows, sondern auch Linux und macOS betroffen sind. Parallel ist mit "Spectre" eine zweite Sicherheitslücke bekannt geworden, die ebenfalls die Prozessorkerne von Intel, ARM und AMD betrifft. Mittlerweile hat Apple bestätigt, dass unter anderem alle iOS-Geräte - einschließlich iPhones, Apple TV und iPads - dadurch angegriffen werden können.

  • Digitale Dienste vor Vertrauenskrise?

    Mit Blick auf die Entwicklungen bei der Bekämpfung terroristischer Inhalte im Internet warnt eco-Vorstand Prof. Dr. Norbert Pohlmann vor weiteren politischen Initiativen (auf nationaler und europäischer Ebene), die auf weitere Einschränkungen und Kontrolle des Internets setzen und damit die Freiheit, Sicherheit und das Vertrauen der Bürger und Wirtschaft in digitale Technologien gefährden könnten: "Die Währung einer erfolgreichen digitalen Transformation ist ‚Vertrauen' in Technologie - ohne Datensicherheit und Datenschutz können Innovationsleistungen und berechtigte Erwartungen, die auf den Wirtschaftszweig Internet und die Digitalisierung projiziert werden, aber nicht erfüllt werden. Bereits jede Diskussion über neue Überwachungspläne schwächt das Vertrauen der Nutzer in das Internet und schadet der deutschen Internetwirtschaft damit immens."