Seit vergangenem Wochenende sind Medienberichten zufolge mindestens 150 Länder der Cybercrime-Attacke durch die WannaCry Ransomware zum Opfer gefallen. In Deutschland waren unter anderem die Computer der Deutschen Bahn betroffen.

Basierend auf einem Exploit, das vom US-Geheimdienst NSA entdeckt (MS17-010 Microsoft Windows EternalBlue) und von einer Hackergruppe namens Shadow Brokers im April gehackt wurde, gelangte die Malware auf die Rechner von bisher mindestens 200.000 Computersystemen weltweit.

Wie es zu den Angriffen kam und wie man diese künftig verhindern kann, erklärt Christopher Brennan, Regional Director bei Skybox Security DACH:

„Ransomware und Banking-Trojaner dominieren die breite Masse der Cyber-Kriminalität. Ihre technischen Abläufe wurden zwar maßgeblich analysiert, jedoch wurde den dahinter stehenden Geschäftsmodellen bisher zu wenig Beachtung geschenkt. Es geht nicht mehr darum, hochkarätigen Zielen zu schaden, sondern darum, von einer großen Anzahl an Opfern kleinere Summen an Geld zu erpressen.

Ein neues Konzept hierfür sind sogenannte ‚Distributed-Cybercrime‘-Angriffe, in der mehrere Opfer während einer Aktion attackiert werden können. Diese Angriffe mögen zunächst vielleicht belanglos erscheinen.

Bedenkt man jedoch, dass dieses Konzept erst vor etwa zehn Jahren aufkam, ist es erschreckend, dass Distributed Cybercrime bereits eine derart enorme Bedrohung darstellt. Wer ihre Opfer sind, spielt für Cyberkriminelle keine Rolle. Sie sehen sich als Geschäftsleute, die eine automatisch gewinnbringende Maschine entwickeln.

Obwohl die Schwachstelle in Microsoft Windows, die von EternalBlue angegriffen wurde, bekannt war, waren sich viele Unternehmen der Dringlichkeit dieses Problems nicht bewusst. Womöglich waren Schwachstellen-Management- und IT-Verantwortliche von der schieren Anzahl an Schwachstellen-Benachrichtigungen, die sie täglich erreichen, überfordert und deshalb nicht in der Lage, diese spezielle Lücke zu schließen.

Damit Unternehmen sich vor solchen Angriffen schützen können, sollten sie ihre Herangehensweise in Bezug auf Schwachstellen-Management und dessen Priorisierung ändern, um organisierten und erfahrenen Hackern einen Schritt voraus zu sein. Sicherheitsabteilungen müssen dem Priorisieren von Schwachstellen mehr Aufmerksamkeit schenken und ihre zum Teil manuellen Prozesse in diesem Zusammenhang überdenken.

Stattdessen sollten sie intelligente Vorgehensweisen verfolgen, die auch reale und vor allem aktuell im Umlauf befindliche und somit akute Bedrohungen berücksichtigen. Das bedeutet, dass sie mehrere Faktoren korrelieren müssen, um das Risiko zu bestimmen, das eine Schwachstelle tatsächlich darstellt. Dazu gehören Informationen zu Schwachstellen, die im Feld angegriffen werden, so wie MS17-010 von EternalBlue angegriffen wurde.

Auch der Kontext der Unternehmensumgebung wie potenzielle Angriffspfade oder vorhandene Sicherheitskontrollen, die Gefährdung eines Assets und dessen Bedeutung für das Unternehmen sowie Details zu vorhandenen Schwachstellen gehören zu diesen Faktoren.

Mithilfe dieser Informationen können Sicherheitsexperten die große Anzahl an bekannten Schwachstellen, die eine potenzielle Gefahr darstellen, auf eine kleine, kontrollierbare Zahl an Schwachstellen reduzieren, die als unmittelbare Bedrohung gelten – Schwachstellen, die im Feld angegriffen werden können.

Für Cyberkriminelle ist es leichter denn je, auf diese zuzugreifen und darüber Malware wie die WannaCry Ransomware zu verbreiten. Und WannaCry ist nur die Spitze des Eisbergs.“

Weitere Beiträge....