Ist WannaCry das Kryptonit für Soft Networks?

Sicherheitsexperten stellen fest, dass WannaCry die Notwendigkeit der Fokussierung auf Netzwerksicherheit und Konfigurationsmanagement erneut demonstriert.

Verfasser: F-Secure Business Security Insider
Datum: 17. Mai 2017
Lesedauer: 4 Minuten

Ende letzter Woche griff eine Crypto-Ransomware namens WannaCry Privatpersonen und Unternehmen weltweit an. Es gab viele Opfer des Angriffs und diese Personen fanden ihre Daten verschlüsselt vor. Die Daten waren nicht nutzbar, außer man bezahlte das Lösegeld oder stellte die Daten aus Backups wieder her. Laut des Chief Research Officers von F-Secure, Mikko Hypponen, haben bis Montagmittag etwa 196 Opfer des Angriffs das Lösegeld bezahlt.

Einige Privatpersonen und auch Unternehmen können sich durchaus die Downtime erlauben, die eine solche Ransomware-Attacke mit sich bringt, aber andere, wie zum Beispiel Krankenhäuser und andere wichtige Services haben diesen Luxus nicht.

Wie passiert so eine Attacke überhaupt? Und, was viel wichtiger ist, wie kann verhindert werden, dass so etwas nochmals geschieht?

Die meisten Ratschläge gehen in die Richtung Sicherheitslücken zu patchen und die Endpunkte zu sichern. Aber Tom Van de Wiele, Principal Security Consultant bei F-Secure, gibt zu bedenken, dass diese Lösungen nur kurzfristige Abhilfe schaffen und Unternehmen und Organisationen mit komplexen Netzwerken nur unzureichend gegen ähnliche Attacken in der Zukunft sichern können.

„Grundsätzlich ist es so, dass ein Fehlen von sehr starkem Schutz in den IT-Abteilungen dafür sorgt, dass es zu Kompromissen kommt“, so Van de Wiele. „Zum Beispiel sollten IT-Abteilungen alle Systeme voneinander abgrenzen, damit Mitarbeiter, die E-Mails erhalten oder mit Systemen arbeiten, die mit dem Internet verbunden sind, nicht mit den kritischen Systemen in Verbindung stehen. Im Fall von Krankenhäusern wären das die medizinischen Systeme, die die MRT-Maschinen, Patientendaten etc. kontrollieren.“

„In diesen Umgebungen umfasst die Sicherheit gutes Netzwerkdesign, Gefahrenanalyse, verschärfte Sicherheit bei Computern und anderen Geräten und das Durchführen von Simulationen, um zu erkennen, inwieweit Drive-By-Attacken überhaupt möglich sind und somit zu testen, wie groß die Gefahren von gezielten Attacken sind“, führt Van de Wiele weiter aus. „Es ist erst möglich, den Stand der eigenen Sicherheit zu messen, wenn alle Einzelteile der Gleichung evaluiert worden sind.“

Doch das ist einfacher gesagt, als getan für die meisten Unternehmen.

F-Secure Security Advisor Sean Sullivan weist darauf hin, dass eine Struktur wie ein Krankenhaus eine sehr umfangreiche und komplexe IT-Umgebung erfordert und die Ressourcen limitiert sind, um alle Faktoren zu beleuchten.

„Abteilungen zur Behandlung von Krebs, Physiotherapie – alle diese Services haben sehr unterschiedliche Bedürfnisse im IT-Bereich. Und das sind nur die medizinischen Services. Wenn wir jetzt noch Forschung, andere Services (intern und extern), die Buchhaltung etc. dazunehmen, dann vergrößert sich das Einsatzgebiet der IT-Abteilungen exponentiell. Eine gemeinsame Infrastruktur ist auf den ersten Blick eine kosteneffiziente Möglichkeit, alle diese Bedürfnisse zu erfüllen, aber am Ende entstehen dabei eben die Sicherheitsprobleme, die Dinge wie WannaCry ausnutzen können“, so Sean.

Das Ressourcenmanagement ist nicht die einzige Hürde. Laut Van de Wiele sind viele spezialisierte IT-Komponenten, die von Krankenhäusern, Kraftwerken, Verkehrssystemen etc. genutzt werden, oftmals unmöglich zu patchen, auch wenn eine Sicherheitslücke entdeckt wird.

„Viele dieser Komponenten arbeiten nur auf Basis einer sehr spezifischen Konfiguration, also kann ein Sicherheitsupdate die Funktionalität eines solchen Systems einschränken oder sogar zerstören. Deshalb vermeiden IT-Administratoren es, diese Systeme anzufassen. Das ist eigentlich auch in Ordnung, weil selbst kleinste Veränderungen potenziell lebensbedrohliche Fehlfunktionen auslösen können, wenn ein System wichtig genug ist. Aber wenn man diese Systeme selbst nicht schützen kann, muss wenigstens sichergestellt werden, dass das Netzwerk um das System herum gut auf alle Eventualitäten vorbereitet ist und ein Einbruch in das System abgefangen wird.“

Van de Wiele gibt auch zu bedenken, dass es in den letzten zehn Jahren einen starken Fokus auf die Sicherheit von Applikationen gab, während die Netzwerksicherheit vernachlässigt wurde.

„Im letzten Jahrzehnt ging es vornehmlich um die Sicherheit von Programmen und Applikationen. Dennoch ist es immens wichtig, eine Balance zwischen der Sicherheit von Applikationen und der Netzwerksicherheit herzustellen. Schließlich ist es bei Unternehmen nicht so, dass die Hacker hinter einzelnen Geräten her sind, sondern hinter dem Zugang zum Netzwerk. Die meisten großen Unternehmen haben immer noch sehr flache Hierarchien in ihren Netzwerken – oftmals wegen Altsystemen oder anderen Gründen. Das sorgt dafür, dass Ransomware genau da angreifen kann, wo es den Unternehmen am meisten weh tut.“

Es gibt leider keine wirklich einfachen Antworten für diese Probleme. Dennoch hat Van de Wiele einige Ratschläge, die er seinen Klienten mitgibt, wenn Red Teaming Tests durchgeführt werden:

„Organisationen, die kritisch wichtige Services bereitstellen, sollten alle ihre Systeme, die mit dem Internet verbunden sind, wie demilitarisierte Zonen behandeln und sie strikt trennen, mit sehr scharfer Zugriffskontrolle, damit der Zugang zu wichtigen Teilen der IT-Umgebung eingeschränkt ist“, so Van de Wiele. „Personen, die mit Systemen arbeiten, die im Internet sind, sind die erste Verteidigungslinie und es gibt schlicht kein Sicherheitsprodukt oder Trainingsprogramm auf dem Markt, das garantieren kann, dass es keinen Einbruch gibt. Die Trennung dieser Systeme schafft eine weitere Schutzschicht, eine Schutzschicht, die weniger kostet, als einen großen Sicherheitsvorfall zu haben. Die Vorteile wiegen die Nachteile klar auf.“


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s