Ransomware: Haben Unternehmen ihre Lektion gelernt?

Was können Unternehmen von Wannacry lernen?

Geld oder Daten! WannaCry und Petya haben Tausende von Rechnern in Mitleidenschaft gezogen. Was können Unternehmen daraus lernen?

Alles begann am 12. Mai mit einem massiven Denial-of-Service-Angriff im englischen Gesundheitssystems (NHS National Health Service). Dutzende Krankenhäuser waren betroffen, dann verbreitete sich die Schadsoftware rasend schnell über sechs Kontinente hinweg und zog insgesamt schätzungsweise 75.000 Maschinen in Mitleidenschaft. Hacker hatten einen Virus geschaffen, dessen Ziel Microsoft-Server waren, auf denen das SMB-File-Sharing-Protokoll lief. Betroffen waren nur diejenigen Server, die seit dem 14. März nicht mit dem Microsoft-Patch MS17-010 aktualisiert worden waren; Dieser Patch wurde erstellt, um ein unter dem Namen „Externalblue“ bekanntes Software-Sicherheitsproblem zu beseitigen – einst ein wohlgehütetes Geheimnis staatlicher Sicherheitsdienste, das dann durch die Hackergruppe „ShadowBrokers“ durchgesickert ist, die sich selbst erstmals im letzten Sommer zu erkennen gegeben hat.

Sicherheits-Update hätte den Angriff verhindern können

Infizierte Rechner meldeten sich bei ihren Anwendern mit dem Hinweis, dass die verschlüsselten Daten gegen eine Lösegeldzahlung im Gegenwert von 300 US-Dollar in Bitcoins wieder “befreit” würden. Die Ransomware, treffend „WannaCry“ genannt, hat sich nicht verbreitet weil Personen unachtsam auf infizierte Links geklickt haben. Vielmehr wurden viele dieser Angriffe durch einen Link oder einen Anhang in einer E-Mail ausgelöst. Aber ein bereits zur Verfügung stehendes Sicherheits-Update hätte den Angriff verhindern können.

Die Dimensionen des Angriffs waren gigantisch, aber bereits wenig später tauchte mit Petya der nächste Schädling auf, der Experten zufolge noch größeres Schadenspotential aufwies. Das Perfide: Petya nutzt offenbar dieselbe Sicherheitslücke, die bereits WannaCry den Zugriff auf Tausende von Rechnern ermöglichte. Haben die Verantwortlichen nichts gelernt?

Firmen sollten aus dem Ablauf vor allem den Schluss ziehen, dass sie jederzeit aktuelle Sicherheitspatches einspielen müssen, um IT-Systeme vor Angriffen zu schützen – damit ist keine hundertprozentige Sicherheit zu erzielen, aber das Risiko sinkt beträchtlich. An dieser Stelle sollte auch einmal Microsoft lobend erwähnt werden: Der Konzern aus Redmond hatte angesichts der Bedrohung erstmals in seiner Geschichte an einem „Patchday“ unter der Bezeichnung KB4012598 einen Patch für nicht mehr unterstützte Windows-Versionen erstellt und im Netz verbreitet. Damit war es möglich, auch alte Systeme in die Neuzeit zu katapultieren – zumindest, was den Sicherheitslevel anging.

Darüber hinaus bleibt nur der Hinweis auf Altbekanntes: Anwender im Unternehmen sollten niemals auf Links oder Anhänge in E-Mails klicken, dessen Absender unbekannt ist. Zudem ist es ratsam, den eigenen Computer regelmäßig neu zu starten um alle Sicherheitspatches abzuschließen, auch solche die gegebenenfalls noch unvollständig sind. Sicherheitsexperten wiederholen diese Tipps seit Jahren gebetsmühlenartig. Gehör finden sie aber meist nur dann, wenn es mal wieder „gekracht“ hat.

Sicherheit jenseits des „Objekt-Hypes”

Was die Angriffe deutlich gemacht haben: Unternehmen sollten immer einen Notfallplan in petto haben. Die Wiederherstellung von Daten nach Ransomware-Angriffen ist möglich, wenn Backups gemacht worden sind und eine Datenkopie von einem Zeitpunkt kurz vor dem Angriff vorhanden ist. Objekt-Speicherlösungen sind die ideale Basis für ein solches Szenario. Moderne Systeme wie die Hitachi Content Platform (HCP) bringen die dazu notwendigen Features mit, vor allem betrifft das die Objekt-Versionierung. Mit der sogenannten WORM-Technologie („Write Once, Read Many“) wird dabei jede Veränderung oder jedes Objekt-Update als eine neue Version des Objekts geschrieben, während die vorherige Version des Objekts ebenfalls beibehalten wird.

Sollte Malware dann ungewollt Daten verschlüsseln, um ihre Nutzung gänzlich zu verhindern, wird diese Änderung als neue Version geschrieben, wobei das Original-Objekt unverändert bleibt. Bei HCP reicht dann ein einfacher Befehl des Storage-Admins, um die betroffenen Objekte auf die letzte Version vor dem Angriff zurück zu versetzen. Diese Art der Wiederherstellung ist viel schneller, einfacher und zudem weniger kostspielig als Daten aus einer Backup-Kopie zu restoren, vorausgesetzt die notwendige Kopie ist überhaupt verfügbar und aktuell.

In der Branche spricht man nicht ganz zu Unrecht vom „Objekthype” – aber für diesen Hype gibt es gute Gründe: Zugriffe und die Ergänzung von Metadaten bei gleichzeitiger Versionierung und der Möglichkeit, auf jeden Zeitpunkt „zurückzuspulen“, machen diese Art der Speicherung zu einem der „Must haves“. Objektspeicher ist das, was CDR (Continuous Data Replikation) Lösungen immer sein wollten: Der zentrale Baustein, um Daten egal wann und wo wiederherstellen zu können. Ein Traum des IT-Managements geht in Erfüllung.

Nach dem Angriff ist vor dem Angriff

Falls Systeme infiziert sind und keine Objektspeicherung vorhanden ist oder die Wiederherstellung von etwaigen Backups zu langwierig und kostspielig ist, bleibt Betroffenen meist nichts anderes übrig, als das verlangte Lösegeld zu zahlen, um an ihre Daten zu kommen. Und dann zu hoffen, dass die Erpresser mindestens so ehrlich sind, die Schlüssel heraus zu rücken. Ansonsten ist beides futsch: Geld und Daten.
Meine Ausführungen sind übrigens nicht nur theoretischer Natur: Auch der Hitachi-Konzern wurde von WannaCry heimgesucht. Es ist unseren Technikern aber gelungen, die (zum Glück wenigen) infizierten Systeme sehr schnell zu identifizieren, zu isolieren und dann dank HCP auf den letzten Stand vor WannaCry zurückzusetzen. So glimpflich könnte bei der nächsten Cyberattacke auch ihr Unternehmen davon kommen – aber dazu müssen jetzt die Weichen gestellt werden.