So vermeiden Unternehmen ihr eigenes „Baltimore“
4. Juni 2019Die amerikanische Stadt Baltimore steht wegen einer Windows-Sicherheitslücke still. Um sich gegen Cyber-Angriffe zu wehren, ist das rechtzeitige Installieren von Patches und Updates wichtig. Vor unbekanntem Schadcode schützt es allerdings nicht. Applikations-Isolation mit Hilfe von Micro-Virtualisierung ist die bessere Lösung, findet Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium.
Ransomware ist eine perfide Kryptografie-Anwendung: Die Software verschlüsselt Daten und fordert für deren Entschlüsselung ein Lösegeld. Jüngstes Opfer einer solchen Attacke ist Baltimore, die amerikanische Stadt befindet sich seit Mai in einem Ausnahmezustand: Cyber-Kriminelle haben rund 10.000 Rechner in Ämtern und städtischen Einrichtungen mit „Robin Hood“ infiziert, der Verschlüsselungstrojaner blockiert den Zugriff auf die Computer.
Weitere Teile der Infrastruktur wurden vorsichtshalber abgeschaltet, um die Verbreitung der Erpressersoftware zu verhindern. Seitdem ist das städtische E-Mail-System lahmgelegt, es können keine Rechnungen mehr verschickt oder Grundstückverkäufe abgewickelt werden, auch das Gesundheitswesen funktioniert nur eingeschränkt. Während Robin Hood, Held englischer Balladen, als Vorkämpfer für soziale Gerechtigkeit gilt, der den Reichen nimmt und den Armen gibt, geht es den Cyber-Kriminellen nur um ihren eigenen Profit. Sie erpressen die Stadt mit Lösegeldforderungen, die in der Währung Bitcoin gezahlt werden sollen.
Der Bürgermeister will allerdings nicht auf die Forderungen eingehen. „Gut so, denn es gibt keine Garantie dafür, dass nach Zahlung die betroffenen Daten oder Geräte tatsächlich wieder freigegeben werden“, erklärt Jochen Koehler, Regional VP Sales Europe beim Sicherheitsanbieter Bromium. Im Gegenteil: Wer Zahlungsbereitschaft signalisiere, werde oftmals mit noch höheren Geldforderungen erpresst.
Für den Angriff auf Baltimore haben die Täter laut einem Bericht der New York Times das NSA-Tool „EternalBlue“ genutzt. EternalBlue ist der Name eines Fehlers in der Programmierung von Windows-Betriebssystemen, den der amerikanische Auslandsgeheimdienst jahrelang für eigene Zwecke ausgenutzt hat. 2016 kamen der NSA ihr eigenes Einbruchswerkzeug wie auch andere Spionageprogramme aber abhanden und wurde von einer Gruppe anonymer Hacker, die sich „The Shadow Brokers“ nannten, stückweise veröffentlicht.
Seitdem wurden die Tools immer wieder für Angriffe genutzt, das vielleicht bekannteste Beispiel ist der Verschlüsselungstrojaner „WannaCry“, der im Mai 2017 mehr als 300.000 Rechner in rund 150 Ländern infizierte. In Großbritannien kam es beispielsweise zu erheblichen Störungen in der medizinischen Versorgung, während hierzulande Anzeigetafeln und Fahrkartenautomaten auf Bahnhöfen ausfielen.
„Dass Hacker ein gestohlenes NSA-Tool einsetzen, ist die eine Sache. Die größere Frage ist doch: Wie kann es sein, dass Städte, Behörden, aber auch Unternehmen ihre Systeme bis jetzt noch nicht gegen diese Schwachstelle abgesichert haben?“, betont Jochen Koehler. Microsoft hat bereits im April 2017 Updates für die betroffenen Windows-Versionen zur Verfügung gestellt. „Die Sicherheitslücke ist also längst geschlossen und trotzdem konnten Hacker 2019, also zwei Jahre später, die Stadt Baltimore verwaltungstechnisch lahmlegen.“ Die Gründe dafür sind unterschiedlich: Bequemlichkeit, fehlende Kapazitäten oder eine über die Zeit gewachsene und dadurch unübersichtlich gewordene IT-Infrastruktur. Auch die Administratoren in Baltimore kämpfen offenbar mit einem Gewirr an Software, veralteten Servern und Netzwerken, die über die Stadt verstreut sind.
„Nun muss man ehrlicherweise zugeben, selbst ein perfekt umgesetztes Vulnerability Patch Management bietet angesichts der horrenden Zahl potenzieller Sicherheitslücken keinen hundertprozentigen Schutz“, so Jochen Koehler weiter. „Das liegt schon in der Tatsache begründet, dass herkömmliche Lösungen nur bekannten Schadcode aufspüren können. Vielmehr sollten Unternehmen deshalb darüber nachdenken, die Angreifer ins Leere laufen zu lassen.“
Möglich wird das durch Applikations-Isolation mittels Micro-Virtualisierung. Einzelne Tasks wie eine Browserabfrage oder das Öffnen eines E-Mail-Anhangs finden in einer eigenen Micro-Virtual Machine (VM) statt – strikt voneinander, vom eigentlichen Betriebssystem und vom verbundenen Netzwerk getrennt. Damit bleiben mögliche Schädigungen immer auf die jeweilige Micro-VM beschränkt, ganz egal, wie neu, alt oder aggressiv das Schadprogramm ist. Zudem wird die VM nach dem Beenden einer Aktivität, etwa dem Schließen eines Files oder eines Browser-Tabs, einfach gelöscht.
Der aktuelle Ransomware-Angriff zeigt, wie verwundbar digitale Systeme sind. Nehmen Cyber-Kriminelle kritische Infrastrukturen ins Visier, geht es oftmals nicht mehr darum, Geld zu erpressen, sondern zu sabotieren: den Strom auszuschalten, die Wasserversorgung zu manipulieren, die Kommunikation zu stören. Die Folgen sind dramatisch. „Viel zu verlieren haben aber auch ganz normale Unternehmen: Steht der Geschäftsbetrieb über einen längeren Zeitraum still, weil man nicht mehr auf wichtige Daten zugreifen kann, ist im schlimmstenfalls die Existenz zerstört“, erklärt Jochen Koehler. „Auf keinem Fall sollte man sich in Sicherheit wiegen, nach dem Motto ‚mir passiert schon nichts’. Jedem kann sein ganz eigenes ‚Baltimore’ drohen.“(rhh)