Über 75.000 Infektionen weltweit mit der Ransomware WannaCry vermeldet der Antiviren-Hersteller Avast in seinem Weblog, wobei die Zahl stetig nach oben ging – in wenigen Stunden hat sich die Zahl der gemeldeten Infektionen mehr als verdoppelt!
WannaCry oder auch WanaCrypt0r 2.0 oder WCry nutzt dabei eine im Februar veröffentlichte und im März geschlossene Lücke in Windows. Nun wird aber eine Lücke auf einem konkreten System nur dann geschlossen, wenn das entsprechende Update installiert wird – dies ist also in mindestens diesen über 75.000 Fällen nicht passiert.
Alle Admins im Urlaub? Seit einem Monat?
Wenn es sich in diesen Fällen nur um private Rechner handeln würde, dann könnte man das noch irgendwie unter „die Nutzer wussten es halt nicht besser“ ablegen, auch wenn man selbst bei privaten Nutzern inzwischen doch eigentlich ein gewisses Problembewusstsein erwarten dürfte. Schließlich gibt es Schadsoftware nicht erst seit letzter Woche. Aber wenn Rechner in großen Unternehmen oder Krankenhäusern betroffen sind und deren IT sogar teilweise durch die Infektion lahm gelegt wird, dann ist es vorbei mit Verständnis für überforderte Anwender. In solchen Unternehmen sollte es zumindest Menschen geben, die grundsätzlich für ein gewisses Maß an Sicherheit sorgen und zum Beispiel die Software auf den verwendeten Systemen aktuell halten.
Klassiker der Ransomware:
Locky: Erpressungs-Trojaner infiziert momentan 5000 PCs pro Stunde
Nun wissen wir, dass es entweder diese Personen nicht gibt in den betroffenen Unternehmen oder aber diese ihre Arbeit nicht gemacht haben, aus welchen Gründen auch immer. Natürlich, seien wir realistisch, in jedem Unternehmen gibt es irgendwo mindestens ein altes System, welches aus irgendwelchen Gründen einfach nicht auf den aktuellen Softwarestand gebracht werden kann. Und sei es nur, dass da irgendeine alte Software läuft, die man für den Zugriff auf Archivdaten braucht. Aber selbst für solche Fälle kann man Lösungen finden, ob man solche Systeme nun physikalisch vom restlichen Netz, mindestens aber vom Internet trennt oder sie in Form einer virtuellen Maschine betreibt und so für möglichst gute Isolation sorgt. Es gibt Mittel und Wege.
Auch die Deutsche Bahn ist betroffen, zwar soll der Zugverkehr nicht beeinträchtigt sind, aber die Anzeigetafeln an den Bahnhöfen. Durchaus noch zu verschmerzen, wenn es dabei bleibt, aber auch hier stellt man sich die Frage, wie es zu dieser Infektion kommen konnte. Hängen die Rechner für die Anzeigetafeln am Internet oder hat da jemand den Trojaner in ein internes Netzwerk geschleppt?
Ausnahmen mag es ja geben, aber…
Aber in diesen Fällen waren es offensichtlich keine solchen alten Systeme, die irgendwo in der Ecke stehen und isoliert wurden, es sind Rechner betroffen, die täglich für die ganz normale Arbeit verwendet werden – oder eben wurden. Teilweise soll in britischen Krankenhäusern die komplette IT runter gefahren worden sein, Ärzte müssen Behandlungsnotizen wieder handschriftlich machen – wofür man später wohl viele Apotheker brauchen wird, um die Notizen dann wieder zu entziffern.
Man könnte das alles viel lockerer sehen, wenn das Problem mit Schadsoftware allgemein und Ransomware im Speziellen nicht so lange bekannt wäre, wenn es hier nicht um kritische Daten ginge und ganz besonders im Fall der britischen Krankenhäuser: wenn es nicht bereits im letzten Jahr einen Fall von Ransomware in britischen Krankenhäusern gegeben hätte.
Man kann es nicht anders sagen, aber diese Attacke war eine Attacke nicht nur mit einer Ansage, da gab es gleich mehrere Ansagen, einen regelrechten Countdown. Und ein Ende der Verbreitung ist nicht abzusehen. Selbst wenn nur 1% der Betroffenen, die geforderten rund US$300 Lösegeld zahlen sollten, dann hätte sich der Angriff für die Urheber wohl gelohnt. Was das wohl für die Motivation dieser und anderer Krimineller bedeutet, wenn man mit einer alten, seit knapp zwei Monaten geschlossenen Lücke, eine solche Verbreitung erreichen kann? Wie sieht es dann erst mit einer frischeren Lücke aus? Einem Zero-Day-Exploit?
Hoffentlich ist wenigstens der Service gut:
Test: Kundendienst bei Ransomware
Kurz zu den Geheimdiensten
An dieser Stelle können wir den Bogen schlagen zu den Geheimdiensten, die sehr sicher auf einem ganzen Haufen von Sicherheitslücken in allen möglichen Systemen sitzen, die sie selbst ausnutzen (wollen), statt sie an die Hersteller zu melden. Früher oder später werden solche Lücken auch von anderen gefunden. Im schlimmsten Fall eben dann von Kriminellen. Oder die Lücken werden veröffentlicht, die von den Geheimdiensten gehortet werden. Mag ja sein, dass man „nichts zu verbergen“ hat, also vor Behörden und Geheimdiensten, aber hier geht es nicht um ein bisschen Schnüffelei in der privaten Pornosammlung, hier geht es um die Gefährdung von Bürgern und kritischer Infrastruktur durch das Zurückhalten von Sicherheitslücken.
Aber bevor wir uns zu sehr auf die Geheimdienste festlegen: Bei einer Infektion in dieser Größenordnung, über eine längst geschlossene Lücke, auf Rechnern, die in den meisten Fällen doch gar nicht direkt aus dem Internet erreichbar sein müssten, mit einer Schadsoftware, die von so ziemlich jeder aktuellen Schutzsoftware identifiziert und geblockt werden kann, muss man sich doch mal ernsthaft die Frage stellen, wer hier seinen Job nicht gemacht hat und warum.
Weitere Berichte: