WannaCry – Gängige Sicherheitslösungen offenkundig überholt

Wanna Cry
  • WannaCry offenbart die Grenzen klassischer IT-Sicherheitsstrategien
  • Die rasante Ausbreitung deutet auf eine Kombination verschiedener Infektionsstrategien hin
  • Industrieunternehmen benötigen kontinuierliche Überwachungslösung, die nicht nur Gefahren, sondern jegliche Anomalie erkennt und meldet

Die Erpressersoftware WannaCry verbreitet sich wie ein Lauffeuer. Über 200.000 Rechner sind bisher infiziert worden. Nun beginnt die Suche nach den Ursachen. Klassische IT- Sicherheitsunternehmen sehen ihre Stunde als Retter in der Not. Dabei liegt die Ursache dieser rasanten Infektionswelle genau in den Algorithmen der etablierten IT- Sicherheitslösungen: Sie schützen ausschließlich vor bereits bekannten Gefahren – und sind machtlos gegen unbekannte oder modifizierte Angriffe. Sandro Gaycken, Leiter des Digital Society Institute an der internationalen Business School ESMT Berlin, warnte in einem Interview mit dem Nachrichtensender n-tv vor dem grundlegenden Problem der gängigen Sicherheitsstrategien: »Es kann natürlich sein, dass die Angreifer den [Angriffsmechanismus] jederzeit anpassen, oder dass es irgendwelche anderen Mechanismen gibt, die man übersehen hat«. Seit Jahrzehnten basieren IT-Sicherheitslösungen auf einer riesigen Liste bekannter Gefahren. Das Ergebnis ist ein nicht enden wollendes Katz- und Mausspiel.

WannaCry lässt auf neue Angriffskonzepte schließen

Wanna Decryptor, wie die Schadsoftware ursprünglich genannt wird, ist ein Verschlüsselungsprogramm. Das Schadprogramm installiert sich auf einem Rechner, verschlüsselt Daten und Zugänge und gibt diese nur gegen ein Lösegeld wieder frei. Sogenannte Erpresserprogramme oder Ransomwares arbeiten normalerweise langfristig und treten meist vereinzelt auf. Das Ausmaß und die Geschwindigkeit der Ausbreitung von WannaCry sind bis dato einzigartig – vermutlich nur der Beginn neuer Angriffsvektoren und Cyberkriminalitätsaktivitäten.

»Die rasante Verbreitung lasse sich damit erklären, dass das Programm nicht wie üblich über Emails bzw. deren Anhängen oder kontaminierte Webseiten auf die Rechner gelangte, sondern sich selbst aktiv über SMB-Kommunikation verbreitet.«, so Dr. Frank Stummer von Rhebo. »Durch diese Kombination mit einem Wurm, der sich nach der Installation aktiv an andere Rechner im Netzwerk und Kontakte des infizierten Nutzerkontos versendet, konnte WannaCry auch auf andere Netzwerkebenen überspringen, was in verschiedenen Industrieunternehmen und Kritischen Infrastrukturen zu Produktions- und Infrastrukturausfällen geführt hat.«

Es gilt, das Unbekannte zu erkennen

Klassische Sicherheitslösungen wie Firewalls und Virenscanner sind gegen diese Form des Angriffsmechanismus nicht gefeit. Sie erkennen weder unbekannte Gefahren – sogenannte Anomalien – noch hätten sie ausreichend Einblick in die eigentliche Code-Struktur der Schadprogramme.

»Industrieunternehmen müssen sich von der Illusion verabschieden, dass sie mit Firewalls, Virenscanner und Intrusion Detection-Systemen ihre Steuernetze ausreichend absichern können. Die Angriffsvektoren der Cyberkriminellen werden immer spezifischer und ausgeklügelter. Die Detektion wird oft erst möglich, wenn das Kind schon in den Brunnen gefallen ist.«, kritisiert Dr. Frank Stummer die aktuelle Blindheit gängiger Sicherheitslösungen.

Vielmehr hilft eine Lösung, die das Steuernetz kontinuierlich auf Anomalien überwacht und jede Abweichung von der Standardkommunikation im Steuernetz meldet. Auch das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) bezeichnete die selbstlernende Anomalieerkennung auf der diesjährigen Hannover Messe als eine zentrale Sicherheitsstrategie für die Industrie 4.0. Auf diese Weise hätte auch der Angriff durch WannaCry frühzeitig erkannt werden können.

»Die Überwachung sollte unbedingt lückenlos erfolgen. Das heißt,  jede noch so verdächtige Aktion im Steuernetz muss gemeldet werden – unabhängig davon, ob diese bereits als Gefahr gelistet ist oder nicht. Alles andere wird in Zukunft unzureichend sein. WannaCry hat soeben diese Zukunft eingeläutet.«, ist Dr. Stummer überzeugt.

Dr. Frank Stummer ist Mitgründer und Business Developer beim deutschen Technologieunternehmen Rhebo. Er promovierte am Fraunhofer Institut für Systemtechnik und Innovationsforschung, bevor er 2006 mit der ipoque sein erstes Unternehmen für Netzwerksicherheit gründete und als CFO erfolgreich zum Exit führte.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*