WannaCry: ein neuer Trojaner, der die Welt bewegt
Nicht zahlen, sondern updaten!
Die gute Nachricht vorweg: keiner unserer Kunden erreichte uns bislang mit einem Hilferuf, weil er vom Trojaner befallen wurde. Trotzdem haben wir einige An
rufe erhalten, von Unternehmen, die besorgt um die Sicherheit Ihrer IT-Strukturen sind und sich eine Absicherung wünschen, sich möglichst gut zu schützen. Wir klären hier den allgemeinen Sachverhalt und die wichtigsten Maßnahmen. Für eine Individualberatung zu Maßnahmen stehen unsere Techniker aber natürlich gerne zur Verfügung. Die Kurzversion: halten Sie jegliche IT aktuell!
Wie passiert bei WannaCry und was ist der Unterschied zu Locky & Co?
In Großbritannien war der Aufschrei zu Anfang am größten. Dort traf es das nationale Gesundheitssystem. Ausgangspunkt der neusten Ransomware soll aber Russland sein. Die Verbreitung von WannaCry verlief von dort aus rasant. Bis heute Morgen waren bereits 230.000 Computer in 150 Ländern befallen. Darunter vor allem auch die Deutsche Bahn, deren Anzeigegeräte an vielen Bahnhöfen ausfielen. Diverse weitere weltweite Unternehmen, wie die Telekom und Bezahlsysteme verschiedener Dienstleister wie der Tegeler Flughafen waren oder sind auch betroffen.
Wie verläuft eine Erpressung durch Verschlüsselungs-Trojaner wie WannaCry?
Ein Befall äußert sich immer mit einer Meldung auf dem Rechner, die den Nutzer auffordert, ein Lösegeld für die Freigabe verschlüsselter Daten zu zahlen. Der klassische Verschlüsselungs-Trojaner – eben wie Locky. Die Zahlung ist in der Internetwährung Bitcoins zu leisten, da sich dabei nicht der Empfänger der Zahlung ermitteln lässt. Bei Bezahlung bekäme man seine Daten am Freitag, 19. Mai, zurück. Solange kommen Anwender auch an Ihre Daten nicht heran. Es wurden wohl bislang umgerechnet 30.000 Euro bezahlt. Das ist aber schon längst keine Absicherung, dass Sie Ihre Daten tatsächlich wiederbekommen oder wenn doch, ob Sie sie noch verwenden können.
Warum ist der Aufschrei bei WannaCry besonders groß?
Der Grund warum sich der neue Trojaner im Gegensatz zu bisherigen so schnell verbreiten kann und weshalb es folglich einen riesigen Aufschrei gibt: WannaCry springt wie ein naturgemäßer Parasit von Rechner zu Rechner. Ist also ein Rechner eines Unternehmens betroffen, ist es sehr wahrscheinlich, dass bald die gesamte IT-Firmenstruktur brachliegt. Das heißt nicht nur die gängige Methode über die E-Mail-Verbreitung (so wohl auch bei der Bahn) greift bei WannaCry, sondern die Verbreitung wird zusätzlich über das Ausnutzen von Sicherheitslücken in Windowssystemen beschleunigt.
Und es ist wirklich zum Heulen. Diese Sicherheitslücken, die WannaCry ausnutzt, wurden bereits vor diversen Wochen bekannt. In den neueren Windowsversionen wurden diese Fehler im März durch ein Update behoben, aber ältere Systeme werden durch ein Supportende eben nicht mehr ausgebessert. Dabei ist es doch das, was wir immer predigen: Updates, Patchen, Backups! Besonders betroffen waren Windows XP-Rechner. Ein nachträglicher Sicherheits-Patch wurde dann am Samstag aber doch geliefert. Das kam leider für die meisten schon zu spät und wenn Sie Ihren alten XP-Rechner anschalten, wissen Sie nicht ob dieser nicht vielleicht auch schon längst befallen ist. Außerdem sind automatische Updates in vielen Systemen oft abgeschaltet, was die Sache ohnehin hinfällig macht.
Wir berichteten bereits im März, dass im vergangenen Monat auch der Support für Windows Vista ablief. Auch hier herrscht also eine erhöhte Gefahr. Windows 7 Anwender können sich noch ein bisschen zurücklehnen, der Support für dieses System endet erst in zweieinhalb Jahren. Trotzdem ist das aktuellste System natürlich immer auch noch das Beste und sich Gedanken über einen frühzeitigen Wechsel zu machen, verhindert ein späteres Wechselchaos.
Rettung in Sicht? Ein möglicher Schutz
Die schnelle Verbreitung wurde inzwischen abgebremst. Ein sogenannter „Kill-Switch“ wurde zufällig gefunden, der aus dem Quellcode des Trojaners hervorging. Man geht davon aus, dass dieser Notschalter vom Entwickler des Trojaners selbst eingebaut wurde um diesen im äußersten Notfall stoppen zu können. Da fragt man sich, was dieser Notfall sein soll, wenn zum Beispiel eine riesige Panik, die die Behandlung von Menschen in britischen Krankenhäuser schwerwiegend verzögert, nicht darunter zählt.
Wie dem auch sei, befallene Systeme bleiben es und die Verbreitung anderer Trojaner bleibt genauso wahrscheinlich. Gerad nach der Wochenendpause, sehen viele Anwender das Problem vielleicht erst jetzt. Wie sichert man sich also ab?
Was tun gegen jegliche Art von Trojanern?
Vorbeugen ist in jedem Fall das aller Wichtigste für die IT-Sicherheit. Wir tun das bei unseren Kunden zum Beispiel mit einer proaktiven Unterstützung. So stellen wir fest, wo Ihre IT Aufrüstungsbedarf hat und beraten Sie welche Vorsorgemaßnahmen Sie treffen sollten.
Hierzu gehört auf jeden Fall auch ein funktionierendes und aktuelles Update, das mit unserer Unterstützung regelmäßig erneuert wird. Außerhalb des Netzwerkes sollte eine weitere Kopie erstellt werden. Und natürlich gilt: keine E-Mails öffnen, die Sie nicht eindeutig zuordnen können. Mit Spams kommt nie etwas Gutes.
Die Ermittlungen zum Fall WannaCry wurden bereits vom Bundeskriminalamt übernommen. Der Vorfall sei "ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen", sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Genau das können wir nur unterstützen. Außerdem sollte man Befall melden, um der Öffentlichkeit einen Überblick über die derzeitige Lage zu ermöglichen und damit die Maßnahmen gegen den Trojaner lenken zu können.
Sprechen Sie uns gerne an zu Maßnahmen gegen WannaCry und anderen IT-Sicherheits-Standards. Als hätten wir es gerochen, haben wir bereits Blogbeiträge vorbereitet, die die Themen Hackerangriffe aus Systemhaussicht und über Websites behandeln. Diese folgen in Kürze.
