Die Festplattenverschlüsselung durch die Ransomware WannaCry ist kein richtiger Cyberangriff, wie es durch die Presse ging. Sicher ist es auch ein Weckruf, aber ich mache daraus lieber eine Zeugnisausgabe. Zum Ende eines jeden Halbjahres gibt es an den Schulen Zeugnisse und die Autoren von WannaCry haben nicht nur kriminelle und perfide Software geschrieben. Sie haben auch die Unternehmen und Organisationen entlarvt, die ganz einfach ihre Hausaufgaben nicht gemacht und auf dem Feld der IT-Sicherheit sträflich versagt haben. Jedes Unternehmen, das heute mit den Folgen von WannaCry zu kämpfen hat, bekommt als Quittung für sein Versagen auf den elementarsten Feldern der IT-Sicherheit eine glatte 6. Das Positive an dieser Ransomware ist aber, dass das Zeugnis mit dem „ungenügend“ nicht schon auf dem Weg von der Schule zur Bushaltestelle Feuer fängt- so wie das eine oder andere Zeugnis des Autors 😉
Die Blamage der Deutschen Bahn
Kunden, Geschäftspartner und die gesamte Öffentlichkeit nimmt die Blamage der Deutschen Bahn und ihr zwangsverschlüsseltes Anzeigensystem wahr. Dieses und andere Unternehmen können sich nicht mehr mit einer „technischen Störung“ herausreden- die Fotos mit der Erpressungsnachricht von WannaCry sind tausendfach fotografiert und in den (sozialen) Medien geteilt worden.
Diese Unternehmen sind jetzt in echter Erklärungsnot: Wenn sie immer so mit der IT-Sicherheit schlampen, wie steht es denn dann um meine persönlichen Daten, Deutsche Bahn? Hallo Telefonica, wer hat eigentlich noch Zugriff auf meine Handyrechnung?
Updates als Basics der IT-Sicherheit
Das Patchen von Sicherheitslücken gilt völlig zu Recht als eine der wichtigsten Maßnahmen der IT-Sicherheit. Der Hersteller der Software (oder des Betriebssystems) bietet selbst ein Update für seinen fehlerhaften Code an- die Nutzer der Software müssen den Patch nur noch installieren. Aber nicht irgendwann, sondern umgehend. Sobald ein Patch für eine gravierende Sicherheitslücke veröffentlicht wird, verbleiben unter Umständen nur wenige Stunden, bis aus dem Wissen um die Lücke ein Angriffsmuster geworden ist. Zeitgleich mit der Veröffentlichung des Updates beginnt ein Wettrennen zwischen den Anwendern der ungeschützten Software und Kriminellen, die die Sicherheitslücke ausnutzen möchten. Der Patch selbst enthält aktualisierte Dateien, die durch ihren Namen den kriminellen Hackern verraten, wo sie nach der Sicherheitslücke suchen müssen, um diese für eine Erpressung mit Ransomware auszunutzen.
Zeit ist alles. Organisation auch.
Die Sicherheitslücke im SMB Protokoll, die ja eigentlich von der NSA entdeckt und genutzt wurde, ist hochkritisch, wie die Verbreitungsgeschwindigkeit von WannaCry bewiesen hat. Bei einer Sicherheitslücke solchen Kalibers muss das Patchen sofort beginnen und innerhalb von 2 Tagen abgeschlossen sein. Ja, das meine ich ernst. Sie haben höchstens 2 Tage für das Testen des Patches und den eventuellen globalen Rollout auf alle betroffenen Windows Client- und Serversysteme. Besser ist es, wenn die IT-Abteilung ihres Unternehmens es noch schneller schafft. Zeit ist alles!
Wie Sie das hinbekommen sollen? Alles eine Frage der Organisation. Treffen Sie eine Bereitschaftsregelung für die Mitarbeiter in der IT und automatisieren Sie die Tests, um sicher zu sein, dass nach der Aktualisierung der Software alle anderen Anwendungen noch funktionieren. Und straffen Sie die Prozesse, die damit einhergehen! Niemand benötigt einen dreistufigen Berechtigungsprozess für das Stopfen einer Sicherheitslücke, denn das Patchen von verwundbaren IT-Systemen ist wirklich alternativlos und bedarf keiner Berechtigung, sondern nur der Dokumentation.
Apropos Dokumentation: Die Inventarisierung ausnahmslos aller Hard -und Software im Unternehmensnetzwerk ist die technisch-organisatorische Bedingung für eine erfolgreiche Aktualisierung aller verwundbaren IT-Systeme. Es darf nicht ein einziges Notebook, Smartphone oder Router selbst im WLAN-Testnetz der ausländischen Tochtergesellschaften geben, das nicht korrekt dokumentiert und inventarisiert ist. Eine vollständige und aktuelle CMDB („Configuration Management Data Base“) ist auch zwanzig Jahre nach dem Siegeszug der ITIL in die Rechenzentren der Republik eher Ausnahme als Regel! Ein Unternehmen, das keinen Überblick über seine eigene Hard- und Software hat, wird niemals ein vernünftiges Niveau an IT-Sicherheit erreichen. Da sind sie wieder, die absoluten Basics des IT-Betriebes, an denen noch heute viele Organisationen scheitern.
Zwischen der Veröffentlichung des Patches für das SMB Protokoll und der Ausnutzung der Sicherheitslücke durch WannaCry sind etwa drei Monate vergangen. Die meisten Unternehmen konnten in dieser Zeit ihre Betriebssysteme aktualisieren, daher ist der Schaden nicht so groß, wie er in der Theorie hätte sein können. Von den bekannten Ausnahmen bei der Deutschen Bahn, Telefonica, Renault und so vielen anderen Unternehmen, deren Namen vom BSI unter Verschluss gehalten werden, einmal abgesehen. Ich persönlich vermute, dass es – wie im britischen NHS – auch in Deutschland wieder sehr viele Krankenhäuser und Kliniken getroffen hat. In keiner anderen Branche habe ich ein so niedriges Niveau an IT-Sicherheit gesehen wie im medizinischen Bereich. Gerade in den Kliniken, aber nicht nur dort, muss sich noch viel ändern, um für die künftigen Wellen an Ransomware gewappnet zu sein. Ich kann Ihnen versichern, dass WannaCry nicht der letzte Versuch sein wird, mit der Verschlüsselung von Festplatten Geld zu erpressen. Bereiten Sie ihr Unternehmen darauf vor und wenn Sie wirklich in zwei Tagen den globalen Rollout eines Updates realisieren können, gibt es dafür auch ein „sehr gut“ auf dem Zeugnis. Und keinen Erpresserbrief auf der Anzeigetafel im Bahnhof.