- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Sicherheitslücke des Windows XP-Betriebssystems


Nehmen Unternehmen und Organisationen das Thema Cyberkriminalität überhaupt richtig ernst?
WannaCry – Status Quo, Hintergrund und wie Sie sich schützen können

- Anzeigen -





BullGuard hat die Hintergründe zum Angriff, die Spekulationen um den Ursprung sowie das Ausmaß von WannaCry zusammengefasst und gibt Nutzern Tipps, wie sie sich vor Ransomware-Angriffen dieser Art schützen können.

Wie funktioniert WannaCry?
WannaCry ist eine Erpresser-Malware, eine sogenannte Ransomware. Diese Art von Malware erpresst Geld der Opfer, indem sie Dateien oder ganze Rechner und Systeme verschlüsselt und diese angeblich nach Bezahlung eines bestimmten Geldbetrags wieder freigibt. Im Falle von WannaCry wurden Lösegelder zwischen 300 und 600 EUR verlangt.

Normalerweise befällt Ransomware nur den Computer, der angegriffen wurde. Nicht so bei WannaCry: Die Attacke beinhaltet eine zusätzliche Komponente, die dafür sorgt, dass das Schadprogramm sich ähnlich wie ein Computerwurm schnell weiterverbreitet.

Die Angreifer haben wohl Hunderttausende E-Mails mit infizierten Anhängen versendet. E-Mails, die sich als Rechnungen, Bewerbungen, Sicherheitswarnungen oder Rezepte tarnen. Öffnet ein argloser Nutzer den Anhang, wird die Ransomware automatisch heruntergeladen.

WannaCry nutzt dabei eine Sicherheitslücke im Windows XP Betriebssystem von Microsoft aus.

Eine Organisation namens "Equation Group" hat vermutlich ein entsprechendes Werkzeug entwickelt, mit dessen Hilfe diese Lücke ausgenutzt werden kann – das Tool läuft unter der Bezeichnung "EternalBlue". Interessanterweise unterhält die "Equation Group" wohl enge Verbindungen zur NSA (National Security Agency) in den USA, sodass vermutet wird, dass EternalBlue für die NSA entwickelt wurde. Regierungen zahlen Hackern hohe Preise für die Identifikation von Sicherheitslücken, die sie zu ihrem Vorteil nutzen können, beispielsweise um andere Länder auszuspionieren.

Im Fall von WannaCry ist dieser Schuss jedoch nach hinten losgegangen: Die Kenntnis über die Sicherheitslücke erreichte auch eine Hacker-Gruppe namens Shadow Brokers, die Details dazu online veröffentlicht und damit für jeden zugänglich gemacht hat.

Wer ist betroffen?
WannaCry nutzt eine Sicherheitslücke des Windows XP-Betriebssystems von Microsoft aus, welches nicht mehr durch Updates unterstützt und geschützt wird. Die Anzahl der befallenen Systeme stieg über das Wochenende von 45.000 auf über 200.000 an.

Neben der Deutschen Bahn hierzulande waren zum Beispiel Renault-Fabriken in Frankreich, Telefónica in Spanien oder Russlands zweitgrößter Mobilfunkanbieter MegaFon betroffen. Auch zehntausende chinesische Unternehmen, Institutionen und Universitäten zählten zu den attackierten Systemen. Besonders deutlich wurden die Auswirkungen beim National Health Service (NHS) in Großbritannien: Operationen mussten abgebrochen werden. Röntgengeräte, Testergebnisse und Patientenakten waren nicht verfügbar und Telefone funktionierten nicht. Nach einer vorausgegangen Regierungsentscheidung war es für den NHS zu teuer, den Support-Vertrag mit Microsoft zu verlängern, daher war das veraltete Betriebssystem auf Kosten der Sicherheit weiter eingesetzt worden.

Woher kommt WannaCry?
Noch ist nicht bekannt, wer wirklich hinter dem WannaCry-Angriff steht. Allein die Tatsache, dass es sich um eine Ransomware-Attacke handelt, lässt jedoch auf eine kleinere Gruppe von Hackern schließen, die mit relativ geringem Risiko eine hohe Summe Geld erbeuten wollte. Laut FBI konnten Cyber-Kriminelle allein durch Ransomware im vergangenen Jahr 2016 rund 1 Mrd. US-Dollar erbeuten.

In der jüngsten Vergangenheit haben Hacker häufiger Ransomware-Angriffe gestartet, die konkrete Anweisungen beinhalteten, keine russischen oder ukrainischen Nutzer oder Unternehmen zu attackieren. Diese Angriffe hatten ihren Ursprung in Russland oder der Ukraine, sodass die Täter in dieser Region vermutet wurden. WannaCry hingegen traf auch Russland, es war sogar eines der am schwersten angegriffenen Länder. Neben Banken und anderen Organisationen wurden zum Beispiel auch über 1.000 Computer im russischen Innenministerium infiziert.

Gleichzeitig werden aktuell Spuren verfolgt, die auf Nordkorea hinweisen. Es wurden Ähnlichkeiten in der Code-Struktur von WannaCry zu früherer Malware aus Nordkorea gefunden.

Letztlich sind all dies jedoch zurzeit nur Spekulationen. Sie zeigen, wie schwierig es ist, die tatsächliche Quelle eines Cyber-Angriffs zu ermitteln.

Was sagt uns der WannaCry-Angriff?
Das Ausmaß, das WannaCry weltweit annehmen konnte, wirft die Frage auf, wie ernst Organisationen das Thema Cyberkriminalität und Sicherheit nehmen. Es scheint fast, dass jeder denkt, ein solcher Vorfall trifft nur andere. WannaCry aber macht klar, dass es jeden treffen kann. Und die Auswirkungen auf den britischen National Health Service machen deutlich, wie fatal die Konsequenzen sind – insbesondere wenn solche Angriffe (lebens-)wichtige Systeme zum Ziel haben, wie zum Beispiel Krankenhäuser oder die Verkehrsinfrastruktur. In einer Zeit täglicher Cyber-Attacken ist es nicht nur fahrlässig, Netzwerke und Computer nicht zu schützen, sondern fast schon kriminell.

Wie können sich Nutzer schützen?

1. Regelmäßige Updates durchführen
Software-Updates werden regelmäßig veröffentlicht, um zum Beispiel Sicherheitslücken zu schließen, die sonst für die Installation von Ransomware genutzt werden könnten. Einige Betriebssystem-Updates werden automatisch durchgeführt, ohne dass der Nutzer sie anstoßen muss. Zum Teil ist es aber auch erforderlich, dass das Update vom Nutzer aktiv gestartet wird.

2. Antivirus-Software nutzen – am besten verhaltensbasiert
Nutzer der Antivirus-Software BullGuard sind geschützt. Denn die Software analysiert Malware sowohl signatur- als auch verhaltensbasiert. Signaturbasierter Schutz erkennt sofort infizierte Dateien, die sich über vergleichbare Strukturen zu bereits bekannter Malware "verraten", stellt diese in Quarantäne oder löscht sie. Neue Malware kann jedoch nur mittels verhaltensbasierter Antivirus-Software ermittelt werden. Sie prüft Dateien auf abnormales Verhalten oder böswillige Aktivitäten, warnt vor deren Öffnung oder stoppt selbst die Ausführung.

3. Gesunde Portion Skepsis
Ransomware kommt besonders häufig über Phishing-E-Mails, infizierte Anzeigen auf Websites oder gefälschte Apps auf den Rechner oder das Smartphone. E-Mails, die nicht erwartet werden und einen Anhang enthalten, sollten grundsätzlich mit größter Skepsis und Vorsicht behandelt werden. Im Zweifel auf keinen Fall den Anhang öffnen. Außerdem sollten Apps nur von bekannten App Stores wie zum Beispiel Google Play oder dem Apple App-Store installiert werden. Professionelle Antivirus-Software warnt außerdem vor dem Download vor verdächtigen Dateien, infizierten Links oder vor dem Besuch gefälschter Websites.
(BullGuard: ra)

eingetragen: 23.06.17
Home & Newsletterlauf: 17.07.17


BullGuard: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Wieder neue Masche beim CEO-Betrug

    Im letzten Dezember war es noch ein angeblicher Mitarbeiter des Bundeskanzleramts, aktuell meldet sich "Daniel Fischer" vom Auswärtigen Amt per E-Mail oder am Telefon bei deutschen Unternehmen - die Details wechseln, aber in allen Fällen handelt es sich um einen Betrugsversuch. "Daniel Fischer" bittet um ein vertrauliches Gespräch mit der Geschäftsleitung des Unternehmens. In diesem Gespräch erläutert er, dass die Bundesregierung für den Freikauf deutscher Geiseln in Mali finanzielle Unterstützung der Privatwirtschaft benötige.

  • Vier Tipps, um Hackern Tür und Tor zu öffnen

    Nach wie vor setzen viele Unternehmen und Anbieter alleine auf das traditionelle Passwort, um ihre Anwendungen zu schützen. Große Datenlecks wie das Rekord-Beispiel Yahoo haben allerdings gezeigt, dass diese Art der Absicherung längst nicht mehr zeitgemäß ist. Oft sind es die Verbraucher selbst, die Hacker durch lasche Kennwörter einladen, in ihre digitalen Konten einzudringen. Pascal Jacober, Sales Manager DACH bei Ping Identity gibt vier Empfehlungen, wie es Hackern besonders leicht gemacht wird.

  • Wie funktionieren Endpoint-Attacken?

    Bei Cyber-Attacken führen die Angreifer meistens verschiedene Schritte durch, um an ihr Ziel zu kommen. Deshalb ist es besonders wichtig, diese Schritte zu kennen. Dabei hat sich eine umfassende Verteidigungsstrategie mit überlappenden Schutzschichten als bester Ansatz für die Cybersicherheit erwiesen. Bei der Angriffskette lassen sich sieben Stufen identifizieren, über die man Klarheit haben sollte: Aufklärung, Art des Angriffs, Weg der Infizierung, Art des Schadprogramms, Installation, Command & Control und letztlich die Aktion oder Ausführung. Diese komplexe und sich teils überschneidende Standardkette ist oftmals komplizierter als nötig. Daher reicht es tatsächlich, mit einer einfacheren, endpunktspezifischen Angriffskette zu beginnen, die nur aus drei wesentlichen Schritten besteht.

  • Kluft zwischen IT-Teams und Chefetage

    "Führungskräfte müssen sich direkt mit Cloud- und Sicherheitsexperten auseinandersetzen, sonst versäumen sie es, wertvolle Ressourcen zu nutzen. Durch eine enge Zusammenarbeit über alle Ebenen hinweg lassen sich die Geschäftsergebnisse verbessern und gleichzeitig der Schutz für Anwendungen, Betriebsgüter und Kundendaten erhöhen", sagte Andreas Riepen, Vice President DACH, F5 Networks. Die Zahl der Sicherheitsverletzungen ist im Vergleich zum Vorjahr um 27 Prozent gestiegen. Gleichzeitig haben Unternehmen 2017 durchschnittlich 22 Prozent mehr für ihre Cybersicherheit ausgegeben (9,5 Millionen Euro). Das belegt eine Studie, die das Ponemon Institut im Auftrag von F5 Networks durchgeführt hat. Doch nicht immer werden diese Mehraufwände strategisch eingesetzt.

  • Shadow IT: Ein erhebliches Compliance-Risiko

    Die EU-Datenschutzgrundverordnung (DSGVO) kommt und es besteht auf Unternehmensseite noch immer akuter Handlungsbedarf. Kaseya gibt Tipps, wie Firmen mit der richtigen Technologie schneller und einfacher zum Ziel der DSGVO-Konformität kommen. Stilllegen von Devices: Verlorene oder gestohlene Geräte müssen auf jeden Fall außer Betrieb genommen werden. Das gilt auch, wenn der Mitarbeiter das Unternehmen verlässt oder das Gerät entfernt wird. Der Nutzer und seine Zugangsmöglichkeiten müssen für alle Systeme genauso sorgfältig aufgehoben werden, wie sie aufgesetzt wurden. Ganz gleich, ob es um Angestellte, Kunden, Admins oder Partner geht. Neben dem Aufheben von Nutzerrechten ist es wichtig, Daten zu beseitigen und zwar so, dass sie nicht wiederhergestellt werden können. Mit regulären Methoden lassen sich die Daten nicht sicher vernichten. Landet das Gerät dann als Spende in der nächsten Schule oder einfach auf dem Müll, droht das Unternehmen DSGVO-Vorgaben zu verletzen. Wurde ein Gerät gestohlen oder ist es verloren gegangen, muss die Firma in der Lage sein, es per Fernzugriff abzuschalten, Daten zu verschlüsseln oder es sogar zu formatieren.