Freitag Abend kamen erste Meldungen über verschlüsselte Computer in Krankenhäusern in UK herein. Die Personal Computer der Krankenhäuser waren verschlüsselt und die Nutzer wurden aufgefordert eine variierende Summe in Bitcoin zu bezahlen, damit ihr Gerät wieder nutzbar wird. Zusätzlich wurde den Nutzern eine Deadline angegeben, ab dem Zeitpunkt die Daten der Geräte gelöscht werden. Wenig später wurde klar, dass nicht nur das National Health Service (HNS) in UK betroffen war, sondern Ziele in 99 weiteren Ländern, darunter namhafte Konzerne wie FedEx, Schenker, Deutsche Bahn, Telefonica, Renault, Nissan, die Wirtschaftsprüfungsagentur KPMG und auch das Russische Innenministerium. In den Medien geistern Fotos von Schnellbahnanzeigen auf Bahnsteigen herum, auf denen die Erpressungsaufforderung zu sehen ist.

Verbreitung

Verbreitet hatte sich die Malware zu Beginn vor allem über E-Mail Anhänge. Diese überwinden meist die Firewalls von Unternehmen, weil der Schadcode noch gar nicht bekannt ist. Unbedarfte Benutzer klicken einen Anhang dann an (beliebt sind hier vor allem Bewerbungsschreiben), und schon hat man sich den Trojaner auf dem eigenen Rechner eingefangen. Von dort aus versucht er dann möglichst viele Rechner im Firmennetzwerk ebenfalls zu infizieren. Das geschieht meistens über Schwachstellen im Betriebssystem oder der installierten Software.

Schwachstelle in Windows

Möglich gemacht hatte diesen Angriff eine Schwachstelle in Microsoft Windows, die der NSA seit Jahren bekannt war (und vermutlich von dieser auch ausgenutzt wurde). Die NSA hat Microsoft über Jahre nicht auf das Sicherheitsloch aufmerksam gemacht.

2016 bot die Hackergruppe Shadow Brokers ein Archiv mit Einbruchtools der NSA zum Kauf an. Die Gruppe hatte offensichtlich ein Archiv mit unterschiedlichen Schwachstellen, die die NSA für ihre Zwecke ausnutzt gestohlen. Woher die Daten genau stammen ist unbekannt, es gibt aber Spekulationen, dass sie einem früheren NSA Angestellten, der mittlerweile in Haft sitzt entwendet wurden. Möglich ist auch, dass die Gruppe einen Command and Control Server der NSA entdeckt hatte, auf dem zu viele Daten zu lange gelagert wurden. Die Auktion scheiterte, weil offensichtlich Zweifel an der Echtheit bestanden und niemand bereit war, die geforderte Summe zu zahlen. Geboten wurden für das Archiv nur 10 Bitcoins statt der geforderten 10.000.

Daraufhin stellten Shadow Brokers, nun ein Jahr später die Tools ins Netz. In dem Paket enthalten sind nicht nur die erwähnte Windows Schwachstelle, sondern auch andere Schwachstellen (z.B. des Oracle Betriebssystems Solaris) und weitere Tools der NSA Hacker Taskforce “Equation Group” enthalten. Veröffentlicht wurden diese Daten als eine Art Protest gegen die Präsidentschaft von Donald Trump.

Blamage für die NSA

Zum Einen ist die Veröffentlichung der Tools eine Blamage für die NSA – denn egal ob es operative Schlamperei war, oder ein Mitarbeiter die Daten weitergegeben hatte, zeugt es davon – dass es keine 100%ige Sicherheit dafür gibt, dass Daten nicht geleaked werden, vor allem bei so großen Organisationen wie der NSA.

Notstopp

Ein 22 jähriger Hacker, der unbekannt bleiben will, hat im Schadcode eine Art Hinweis auf einen Notstopp Knopf gefunden. Er registrierte eine Domain und leitete den Traffic der Malware ins Nichts um. Daraufhin hörte die Verbreitung des Codes auf. Die Rechner sind zwar weiterhin infiziert, aber der Code verbreitet sich nicht weiter. Verschlüsselte Rechner bleiben jedoch leider natürlich weiterhin verschlüsselt.

Problem daran ist auch, dass der Code nur leicht verändert werden müsste um wieder in die freie Wildbahn gesetzt zu werden und Schaden anzurichten. Es ist daher derzeit nur eine kleine Atempause.

Der genaue Ablauf ist hier beschrieben.

Learnings

Man kann aus der Geschichte einige Lehren ziehen:

  1. Monokulturen vermeiden
    Je mehr Rechner unter dem gleichen Betriebssystem laufen, desto größer ist der Schaden von solchen Angriffen. Unterschiedliche Betriebssysteme erhöhen den Administrationsaufwand, aber reduzieren das Risiko der Auswirkungen solcher Angriffe.
  2. Staatstrojaner sind gefährlich!
    In Österreich wollen wir gerade die gesetzlichen Voraussetzungen für Staatstrojaner schaffen. Diese Software dient dem Staat dazu die Computer von “bösen Buben” ausspionieren zu können. Wie man an o.g. Beispiel sieht, kann eine solche Schadsoftware nur Schwachstellen in Betriebssystemen nutzen. Daher ist die Behörde bemüht, dass diese Schwachstellen vom Hersteller unbemerkt bleiben. Denn wenn der Hersteller einen Patch herausgibt, und die unbekannte Hintertüre schließt, dann ist auch der Staatstrojaner nutzlos.
  3. Patchen ist wichtig!
    Microsoft hatte bereits einen Patch für die Sicherheitslücke herausgegeben und auch bereits über Windows Update verteilt. Alle die sich automatisch von Microsoft mit Patches versorgen lassen, waren bereits geschützt. Es gibt aber viele Privatanwender die skeptisch gegenüber automatischen Patches sind, oder Firmen – die strikte Testprozeduren haben, bevor die Patches ausgerollt werden, oder einfach solche die schlampig im Umgang damit sind. Diese waren noch nicht geschützt und so konnte sich die Malware rasend schnell verbreiten. Wenn Ihr Windows also noch nicht die neuesten Patches eingespielt haben, sollten Sie das schnellstens tun. Microsoft hat sogar für Windows XP einen Patch veröffentlich, obwohl das System seit Jahren keine Patches mehr bekommt.
  4. Anhänge nicht öffnen
    Es wird Benutzern ohnehin eingebläut, aber man kann es gar nicht oft genug sagen: Anhänge mit denen man nicht rechnet – und von Personen, die man nicht kennt – einfach nicht öffnen, bzw. wenn notwendig sich beim Absender rückversichern. Beliebt sind hier Bewerbungsschreiben, Rechnungen, Paketbestätigungen, etc.
  5. Sicherheit ist enorm unterschätzt
    In unserer Digitalen Welt wird Sicherheit immer wichtiger. Dinge wie wir sie hier erleben sind noch ein Kindergeburtstag. Wir müssen alle gemeinsam versuchen das Problem zu lösen. Die Hersteller indem sie Sichere Software per Design herstellen und nicht als lästiges Anhängsel betrachten (Secure by Design) – Indem die Grundeinstellungen von Software per Voreinstellung sicher ist (Secure by default), Indem die Software ständig und automatisch gewartet wird (Windows Update ist hier ein Vorreiter, viele andere – vor allem IoT Geräte werden überhaupt nicht upgedatet), Zentrale Firewalls sind in der heutigen mobilen Welt fast nutzlos. Geräte sind mobil und immer und überall mit dem Netz verbunden. Benutzer wechseln von Internet Hotspots nahtlos ins Firmennetzwerk. Daher kann auch niemand mehr damit rechnen, dass man Firmennetzwerke per se “im Griff” hat. Jeder Nutzer muss daher auch einen Teil der Verantwortlichkeit übernehmen und dazu braucht es auch Wissen um die Gefahren und entsprechende Mitwirkung. Man kann sich auch nicht darauf verlassen, dass der Autohersteller schon dafür sorgen wird, dass das Auto in dem man fährt nicht gegen eine Wand rast.

Die Digital Society muss hier daran arbeiten, was wir in Österreich dazu beitragen können die Situation zu verbessern. Wir müssen davon ausgehen, dass im Zuge der Digitalisierung immer mehr solche Vorfälle (und noch viel schlimmere) auftreten werden. Diese Veränderungen lassen sich nicht aufhalten, und wir wollen das auch gar nicht. Aber es muss eine Lösung gefunden werden, wie Technologie sicher eingesetzt werden kann, und die Sicherheit als oberstes Gut betrachtet wird. Wir haben ein Sicherheitsproblem in Österreich – aber das bezieht sich nicht auf “normale” Kriminalität, sondern auf den digitalen Raum. Dorthin muss unser Augenmerk gerichtet werden. Mögliche Ansatzpunkte wären

  • Die Zusammenarbeit mit Österreichischen Softwareherstellern
  • globalen Herstellern von Standardsoftware,
  • die Information und Weiterbildung von Anwendern zu dem Thema,
  • die Einflussnahme auf die Gesetzgebung,
  • die mitarbeit bei der Normung
  • u.v.a.m.

Wir rufen daher alle Interessenten auf, unsere Arbeit zu unterstützen und selbst Know How und Arbeitskraft einzubringen, damit wir gemeinsam die wirklich großen Probleme unserer Zeit lösen können. Security ist eines davon.

Ansprechpartner in der Digital Society zum Thema Security ist Dr. Manfred Wöhrl ( manfred.woehrl @ DigiSociety. ngo)

Hinweis: Bei unserem Digitalk am Mittwoch geht es auch um das Thema Staatstrojaner:

17.05.2017
18:00 – 22:00
Digitalk: Sicherheit und Überwachung (epicenter.works)
Digital Society, Wien
Follow me

Werner Illsinger

Präsident bei Digital Society
Die Vorteile der digitalen Technologien zu verbreiten und eine kritische Auseinandersetzung zu fördern, ist die Mission von Werner Illsinger seit er in den 80er Jahren die HTL für Nachrichtentechnik absolviert hat. Er hat einen der ersten Internet Provider in Österreich aufgebaut, hat Erfahrung im Vertrieb, Management und Geschäftsführung bei internationalen Konzernen,ist Referent und Vortragender bei nationalen und internationalen Veranstaltungen und Konferenzen, ,sowie Präsident der DigitalSociety.
Follow me

Letzte Artikel von Werner Illsinger (Alle anzeigen)

Zur Werkzeugleiste springen