WannaCry und Co. Sind Ihre IT-Systeme sicher?

Bei der deutschen Bahn fallen die Anzeigetafeln aus, in britischen Krankenhäusern müssen Patienten abgewiesen werden und wie hoch der Schaden bei Renault auf Grund stillstehender Bänder ist, ist momentan noch nicht abzusehen. Der Erpressungstrojaner WannaCry ist nicht der erste Vorfall dieser Art, in seiner Ausdehnung aber schon etwas Besonderes. Wie Sie ihre Infrastruktur bestmöglich auf den nächsten Trojaner vorbereiten können und was Sie im Falle einer Infektion Ihres IT-Systems tun können, möchten wir Ihnen in diesem Artikel näherbringen.

Hohes Risiko für alle Betriebssysteme

Das erste was Sie prüfen sollten ist, ob Sie in ihrem Unternehmen noch alte Windows-Versionen verwenden. Wo noch Rechner mit Windows 8.0 oder gar Windows XP laufen sollten diese vom externen, wie auch vom internen Netz getrennt und durch die von Microsoft bereitgestellten Sicherheitspatches, die mit einem USB-Stick eingespielt werden sollten, geschützt werden. Grundsätzlich sollte dies aber nur eine Notfallmaßnahme bleiben, besser wäre es auf neuere Betriebssystemversionen umzusteigen, die noch mit Updates durch den Hersteller versorgt werden. Die nächste Sicherheitslücke im Betriebssystem Windows XP kommt bestimmt. Das Problem mit der Schadsoftware ist aber nicht nur auf alte Betriebssysteme zurückzuführen, vielmehr bezieht es sich auf alle Betriebssysteme. Der WannaCry Trojaner hat beispielsweise seine größte Verbreitung bei Windows 7 Plattformen erreicht, während Windows XP auf Grund der geringen Verbreitung zu vernachlässigen ist. Auch neuere Windows Versionen wie Windows 10 sind zwar betroffen, spielen aber im prozentualen Anteil der Infektionen mit WannaCry auf Grund der meist automatisch eingestellten Updates keine große Rolle.

Firewalleinstellungen und -regeln überprüfen

Sollten bei Ihnen Fälle des Trojaners im LAN aufgetreten sein, gilt es nun alle eingehenden Verbindungen über unbekannte Ports zu sperren. Hierzu sollten alle Firewall Regeln begutachtet und entsprechend angepasst werden. Es sollten wirklich ausschließlich die benötigten Ports für die einzelnen Anwendungen freigegeben sein. Es reicht nicht, nur die für den Trojaner WannaCry genutzten Ports (445/139 sowie 3389) zu sperren, da andere Erpresser möglicherweise andere Sicherheitslücken und damit andere Ports nutzen. Täglich kommen nach Schätzungen des BSI über 380.000 neue Schadsoftwarevarianten zu den bereits existierenden ca. 560 Millionen Schadprogrammen hinzu. Diese Softwaretools nutzen immer neue Sicherheitslücken und Einfallstore, daher reicht eine gut eingestellte Firewall nicht aus.

Jede Malwarevariante von WannaCry verfügt über sogenannte Killswitch Domains. Werden die Verbindungen zu diesen Domains unterbunden, werden Verschlüsselung und Weiterverbreitung nach aktuellem Kenntnisstand des BSI unterbunden. Dies kann über Firewall Regeln erreicht werden. Prüfen Sie, ob aus Ihrem Netzwerk die Killswitch Domains erreichbar sind und ergreifen Sie gegebenenfalls Gegenmaßnahmen über lokale Sinkhole Lösungen.

Grundregeln für die IT Sicherheit

Neben regelmäßigen Updates der Betriebssysteme durch bereitgestellte Updates sollten zuallererst Ihre Mitarbeiter sensibilisiert und geschult werden. Dies sind die einfachsten Einfallstore für Schadsoftware aller Art. Ihre Mitarbeiter müssen E-Mail-Anhänge und Absenderadressen bewerten können und auf dieser Grundlage entscheiden können, ob dies ein vertrauenswürdiger Absender ist.

Weiterhin sollten Sie sicherstellen, dass auf allen Rechnern Virenscanner installiert sind Microsoft liefert bei Windows den Windows Defender direkt mit. Diese Programme müssen ebenfalls durch Updates aktuell gehalten werden, da Trojaner, Würmer und Viren sich jeden Tag verändern können und dann nicht mehr von der Software entdeckt werden können.

Außerdem sollten regelmäßige Back-Ups von wichtigen Systemen gezogen werden. Wenn dann trotz aller Sicherungsmaßnahmen ein Erpressungstrojaner o.Ä. auftritt, können die dann verschlüsselten Daten wiederhergestellt werden. Achten Sie aber darauf, dass das Medium auf das Sie die Sicherung ziehen nicht im gleichen Netzwerk hängt sondern davon separiert ist. Es können auch externe Datenträger wie USB Sticks oder Festplatten genutzt werden.

Office-Programme wie Microsoft Office sowie pdf-Reader sollten keine Makros automatisch beim Öffnen von Dateien ausführen. Dies kann in den Einstellungen der Programme entsprechend eingestellt werden und damit ein weiteres Einfalltor für Schadsoftware geschlossen werden. Grundsätzlich sollten Ihre Mitarbeiter keinerlei Programme auf den Rechnern selbst installieren können. Auch Erweiterungen von Webbrowsern gehören dazu.

Erste Maßnahmen bei befallenen Rechnern

Die erste Maßnahme ist das Trennen betroffener Rechner vom Netzwerk und vom Stromnetz. Als nächstes sollte dann über ein externes Boot-Medium ein Image des Systems angelegt werden. Wer ein aktuelles System-Backup hat, spielt dieses einfach wieder ein, sichert seine IT-Infrastruktur nach den oben genannten Beschreibungen und kann weiterarbeiten. Sollten die Windows Updates nicht eingespielt werden können, deaktivieren Sie die Funktion SMBv1 über die das Schadprogramm sich weiterverbreitet.

Ohne Backup wird dies ein wenig komplizierter, da die verschlüsselten Daten bei neueren Trojanern auch wirklich verschlüsselt sind. Bei älteren Versionen konnte man noch mit viel Mühe durch bestimmte Tools Daten wiederherstellen, dies funktioniert in der Regel jedoch nicht mehr, da auch Hacker dazulernen. Sie können aber zumindest versuchen, Daten durch Tools wie Autopsy, PhotoRec oder Recuva wiederherzustellen. Mittlerweile gibt es auch für WannaCry eine Software, die ein Wiederherstellen der Daten in einigen Fällen ermöglicht. Entwickelt wurde dieses Tool vom französischen Sicherheitsforscher Adrien Guinet von Quarklabs und nennt sich Wannakey. Auf vollständige Beseitigung der Schadsoftware dürfen Sie aber nicht hoffen, häufig verbleiben Fragmente in den Tiefen Ihres Systems, die jederzeit dazu führen können, dass der Trojaner abermals auftritt. Auch das Zahlen des Lösegeldes bringt keine Sicherheit, wer kann schon wissen, ob die Software dann wirklich verschwunden ist und nicht in zwei Monaten wieder auftritt?

Sichere, gut eingestellte Firewalls verhindern Schlimmeres

Eine gut eingestellte Firewall ist eine gute Voraussetzung für ein sicheres IT-System. In den Firewallregeln sollten alle eingehenden Ports, die nicht durch Anwendungen auf Ihren Rechnern genutzt werden, blockiert sein. Hinzu kommt auch das blockieren von ausgehenden Ports die nicht für Unternehmensanwendungen genutzt werden.

Neben dem Blocken von möglicherweise schädlichen Verbindungen übernimmt die Firewall auch noch die wichtige Rolle der Erkennung von Angriffen auf das IT-System. Durch eine Zusatzfunktion können alle ein- und ausgehenden Pakete auf schädliche Muster und bekannte Bedrohungen untersucht werden. Eine Anomalie kann so zeitnah erkannt werden und ggf. direkt durch die Firewall geblockt werden. Zudem kann der Administrator benachrichtigt werden. Ähnlich wie bei einem Virenscanner werden hier immer aktuelle Regeln und Filter genutzt. Es muss natürlich sichergestellt werden, dass die Firewall immer auf dem aktuellen Stand ist.

Außerdem können Geofilter eingestellt werden, also IP-Adressen aus bestimmten Regionen der Welt gesperrt werden. Dies kann auch über SSL-Fingerprints geschehen.

Diese und viele weitere Funktionen bietet Ihnen Welotec mit der IGNIS-Firewall. In Kombination mit unseren hochsicheren LTE-Routern können Sie so ein sicheres IT-System aufbauen und behalten dennoch durch übersichtliche Funktionen und Menüs den Überblick.

Gute Einführung in das Thema IT-Sicherheit

Die ARD hat momentan eine sehr interessante Dokumentation in der Mediathek in der das Thema IT-Sicherheit an praxisnahen Beispielen, wie dem Stromausfall in der Ukraine, verdeutlicht wird. Hier geht es um aus dem Internet einsehbare SCADA-Systeme, W-LAN-Verbindungen in Blockheizkraftwerken oder IT-Ausfälle in Krankenhäusern auf Grund einer Infektion mit Erpressungstrojanern. Die Informationen geben einen guten Überblick über die aktuelle Bedrohungslage, künftige Entwicklungen und geben Tipps zur Vermeidung von Sicherheitslücken.

Weitere Informationen finden Sie auch übersichtlich aufbereitet im IT-Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik. Diese jährlich erscheinende Zusammenfassung über aktuelle Bedrohungslagen und Tipps zur Vermeidung von Sicherheitslücken finden Sie unter dem folgenden Link: