Cyberangriff auf Krankenhäuser

Plötzlich fallen die Computer in britischen Krankenhäusern aus, ein Krankenhausverbund spricht von einem mutmaßlich „nationalen Cyberangriff“. Cyberangriff?

„WannaCry“ oder „Decrypt0r 2.0“, so heißt die aktuelle Ransomware, die seit gestern in aller Munde ist. Inzwischen ist bekannt, dass es nicht nur Krankenhäuser getroffen hat, dennoch liest man sehr häufig noch in den Artikeln aus den ersten Stunden davon, dass Krankenhäuser und Verbände sich als Opfer eines gezielten nationalen Angriffes sahen. Doch ein gezielter Angriff ist hier sicherlich nicht geschehen, lediglich flächendeckendes Versagen der Administratoren in den betroffenen Netzen. Kryptotrojaner sind nervig, aber nicht ernsthaft gefährlich,… zumindest sollte das so sein.

Virenscanner haben den Virus als Signatur natürlich noch nicht gekannt, die „Verhaltensanalyse“ der „Sicherheitssoftware“ hat jedoch ebenfalls auf ganzer Linie versagt. Wir haben einen Netzwerkwurm, der sich über eine bekannte Lücke in einem bekannten und verbreiteten Dienst fortpflanzt, wir haben „Schutzsoftware“, die Netzwerkverbindungen, Dateien und Dienste überwacht, aber den Angriff nicht erkennt. Da kann man sich fragen: Wozu haben wir dann überhaupt solche Sofware auf den PCs?

Das Problem ist veraltete Software

Der Punkt ist, wie so oft bei solcher Schadsoftware, dass ein Gerät mit aktuellem Betriebssystem (8.1 oder 10) und ordentlicher Versorgung mit Updates nicht betroffen ist. Der private Endnutzer mit halbwegs aktuellem Windows und aktivierten automatischen Updates ist daher auch im aktuellen Fall nicht betroffen, denn den passenden Patch für die genutzte Lücke hat Microsoft bereits am 14. März herausgebracht, also vor fast genau zwei Monaten.

Das bedeutet wiederum, dass die flächendeckenden Ausfälle in Krankenhäusern und Unternehmen schlicht ein Armutszeugnis für die dort genutzten Patchverfahren und/oder Softwarestände darstellen. Wenn man beobachtet welche Bereiche hier betroffen sind, überrascht das wenig, aber das macht es kaum besser. Ich gehe davon aus, dass viele der betroffenen Systeme WindowsXP- oder Windows7-basierend sind, eine Quelle dazu habe ich jedoch aktuell noch nicht.

Wer veraltete Software einsetzt, wer bei aktuellen Betriebssystemen den Patchprozess nicht pflegt, wer bei kritischen Sicherheitspatches mehr als zwei Monate verstreichen lässt, der handelt grob fahrlässig. Nein, es ist kein Angriff auf eure Infrastruktur, es ist ein Lehrstück darüber, dass ihr Mist gebaut habt.

Auch für ältere Systeme gibt es Schutz

Bei allem Aufsehen über derartige Lücken im Code muss man Microsoft eines lassen, sie reagieren überraschend positiv. Im Februar haben sie zwar bei ihrem Patch lediglich die beiden neuesten Windowsversionen versorgt, doch nach den großen Problemen aktuell haben sie rückwirkend bis inklusive WindowsXP einen Patch herausgebracht. Man bemerke, End-Of-Life für XP war 2014.

Für alle älteren Systeme, denn die gibt es je nach Umgebung durchaus auch heute noch, muss jedoch der Perimeterschutz angepasst werden. Ob demnächst über Application-Controlling in Firewalls die Lücke behandelt werden kann bleibt offen, aktuell sollte man die entsprechenden Ports im Netzwerk komplett schließen, wenn man keine Möglichkeit hat einen Patch einzuspielen.

Forscher stoppt versehentlich die Ausbreitung

Nachdem im Code des Schädlings eine Domain aufgetaucht ist, hat ein Forscher sich diese registriert, in der Hoffnung, darüber weitere Informationen über das Verhalten zu gewinnen. Zwei Dinge sind dabei aufgefallen: Tausende „Installationen“ haben sich innerhalb kurzer Zeit gemeldet und gleichzeitig haben sie aufgehört sich zu verbreiten. Es stellte sich heraus, WannaCry enthält einen Mechanismus zur Deaktivierung. Ist die Domain erreichbar, findet keine weitere Verbreitung statt, als der Forscher sich die Domain registrierte, hat er also versehentlich den KilSwitch aktiviert.

Spannend wird es jetzt nur werden, wenn die Schutzprogramme auf den PCs verhindern, dass der Schädling den Server erreicht, denn dann würde er sich weiter verbreiten. Warten wir es ab.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.