Sie sind hier: HomeTelekommunikation

Kommentar zu WannaCry: Zurück in die Zukunft

Seit Auftauchen der neuen Ransomware WannaCry steckt unsere vernetzte Welt in einer schweren Krise – wieder einmal. In den vergangenen Monaten haben wir uns bereits an die ständige Bedrohung durch Ransomware-Attacken gewöhnt und einen Weg gefunden, damit umzugehen.

Zurück im die Zukunft Bildquelle: © fs-nikonomad-billboardfilm

Viele Organisationen haben es zum Beispiel geschafft, unter dem Radar von Cyberkriminellen zu fliegen. Andere haben mit Mitarbeiterschulungen zum Thema Ransomware oder mit Next-Generation-Technologien spezielle Vorkehrungen getroffen, um sich zu schützen. Aber WannaCry ist mit neuen Waffen ausgerüstet. Die potentielle Verbreitung und der zu erwartende Schaden sind viel höher als bei üblicher Ransomware. Es handelt sich um eine Next Generation Malware, die sich automatisch, unsichtbar und ohne menschliches Zutun verbreitet. Hat sie einmal einen Rechner in einem Netzwerk infiziert, zum Beispiel über einen verseuchten E-Mail-Anhang, verbreitet sie sich schnell auf allen Geräten im Netzwerk, die nicht ausreichend geschützt sind.

Was ist so neu daran? Leider nichts.

All das erinnert mich an eine chaotische Erfahrung aus der Vergangenheit. Vor ungefähr zehn Jahren zwang der Wurm Conficker viele Unternehmen und Organisationen dazu, Tätigkeiten in bestimmten Bereichen einzustellen: Computernetzwerke wurden heruntergefahren, Verkaufsstellen wurden geschlossen, Versorgungsketten unterbrochen, selbst Militärflugzeuge mussten am Boden bleiben. Der Wurm verbreitete sich wie ein Lauffeuer und infizierte Millionen Geräte weltweit. Damals war ich im Bereich Cybersecurity Service und Consulting tätig. Über Wochen hinweg waren wir damit beschäftigt, den Wurm von Kundenrechnern zu entfernen. Der Aufwand war enorm, und die Projekte haben viel Energie, Ressourcen und Zeit gefressen – auch in Nächten und an Wochenenden. Am

Ende waren wir uns einig, so etwas nicht noch einmal erleben zu wollen. „Nie wieder“ wurde zum Mantra unzähliger Entscheider, die endlich verstanden hatten, wie wichtig Cybersecurity für ihre Geschäftsaktivitäten ist.

Und trotzdem habe ich zehn Jahre später den Eindruck, es habe sich nichts verändert; die Methoden von früher funktionieren immer noch genau so gut wie damals. Conficker und WannaCry nutzen die gleichen Verbreitungswege: Von extern nutzen sie eine kritische Sicherheitslücke in den SMB- und NetBIOS-Diensten von Microsoft aus. In beiden Fällen war ein Patch verfügbar, bevor die Malware-Attacken begannen. Zehn Jahre später richten die gleichen Techniken immer noch verheerende Schäden in Unternehmen an. Ich konnte die Analyse des SAS Internet Storm Center aus dem Jahre 2008 nicht mehr finden, in der die Nutzung des SMB-Ports (TCP/445) ähnlich wie hier aufgelistet wurde. Aber ich erinnere mich genau daran, dass die Traffic Monitoring Tools den gleichen Anstieg in der Nutzung des SMB-Ports während der Hauptverbreitungszeit von Conficker zeigten.

Nutzung des SMB-Ports (TCP/455) während der Verbreitungszeit von WannaCry (Mai 2017) Bildquelle: © Stormshield

Nutzung des SMB-Ports (TCP/455) während der Verbreitungszeit von WannaCry (Mai 2017)