zur Navigation springen

Schadsoftware „Wanna Cry“ : Weltweite Cyber-Attacke: So sichere ich meinen Computer

vom

Der Erpressungs-Trojaner legte Rechner in britischen Krankenhäusern und bei der Deutsche Bahn lahm.

Flensburg | Die weltweite Cyber-Attacke mit der Ransomware „WannaCry“ hat am Freitagabend große Unternehmen und Institutionen getroffen – auch in Deutschland. Doch nicht nur Großunternehmen, sondern auch Privatnutzer sind Ziele dieser von Kriminellen genutzten Schadsoftware. Das Bundesamt für Sicherheit und Informationstechnik (BSI) rät daher, auch den eigenen Computer zu überprüfen.

Ein Drittel der deutschen Unternehmen ist eigenen Angaben nach bereits von Ransomware betroffen gewesen. Die Bedrohungslage durch Ransomware ist nach Einschätzung des BSI unverändert hoch.

Das Besondere an „WannaCry“ ist, dass sie sich selber verbreiten kann. Die Verbreitung erfolgt dabei ohne weiteres Zutun des Nutzers. Dies kann insbesondere in Netzwerken von Unternehmen und Organisationen zu großflächigen Systemausfällen führen. Betroffen sind Systeme mit dem Betriebssystem Windows. Der Mechanismus der Weiterverbreitung der Schadsoftware wird durch den Software-Patch von Microsoft vom 14. März 2017 (MS17-010) verhindert. Das Bundesamt rät zum Aufspielen dieses Patches, sofern dies nicht bereits geschehen ist.

Hintergrund: Was ist Ransomware?

Als Ransomware werden Schadprogramme bezeichnet, die den Zugriff auf Daten und Systeme einschränken oder verhindern und diese Ressourcen nur gegen Zahlung eines Lösegeldes (engl. „ransom“) wieder freigeben. Es handelt sich dabei um einen Angriff auf das Sicherheitsziel der Verfügbarkeit und eine Form digitaler Erpressung. Quelle: BSI

„Als nationale Cyber-Sicherheitsbehörde beobachten wir rund um die Uhr intensiv die Lage und stimmen uns dazu auch mit betroffenen Unternehmen in Deutschland sowie mit unseren internationalen Partnern in Frankreich und Großbritannien ab“, sagt BSI-Präsident Arne Schönbohm. „Um einen möglichst vollständigen Überblick über die Lage zu bekommen, rufen wir betroffene Institutionen auf, Vorfälle beim BSI zu melden“.

Die aktuellen Angriffe zeigten die Verwundbarkeit der digitalisierten Gesellschaft. Sie seien ein erneuter Weckruf für Unternehmen, IT-Sicherheit endlich ernst zu nehmen und nachhaltige Schutzmaßnahmen zu ergreifen. „Die aktuelle Schwachstelle ist seit Monaten bekannt, entsprechende Sicherheitsupdates stehen zur Verfügung. Wir raten dringend dazu, diese einzuspielen“, sagt Schönbohm.

Präventionsmaßnahmen: Was kann ich noch tun, um Infektionen zu verhindern?

Updates und Patches sollten unverzüglich nach der Bereitstellung durch den jeweiligen Software-Hersteller installiert werden. Dies gilt besonders für Anwendungen, mit denen Inhalte aus dem Internet geöffnet werden. Dazu zählen Web-Browser, Browser-Plugins, E-Mail-Programme, PDF-Dokumentenbetrachter und Office-Suiten.

Nicht benötigte Software sollte generell deinstalliert werden, rät das BSI. Je weniger Programme zum Öffnen von unbekannten Inhalten auf dem System vorhanden sind, desto weniger Schwachstellen können von Angreifern ausgenutzt werden. Dies gilt zum Beispiel für nicht dringend benötigte Browers-Plugins wie Flash, Java oder Silverlight.

Es sollte geprüft werden, ob auf die Ausführung von Scripten verzichtet werden kann. Ransomware im E-Mail-Anhang wird häufig in Form von Javascript und Visual-Basic-Skripten verteilt. Die Deaktivierung im Betriebssystem verhindert in diesem Fall eine Infektion, da der Anhang nicht mehr versehentlich durch Doppelklick geöffnet werden kann.

In E-Mail-Programmen werden E-Mails heutzutage häufig als HTML-E-Mails verschickt. Diese enthalten Schwachstellen. Die größte Schutzwirkung bietet in diesem Fall die Darstellung von E-Mails als Textdarstellung (oft als „Nur-Text“ bzw. „reiner Text“ bezeichnet). Die Textdarstellung verhindert außerdem, dass Webadressen verschleiert werden können. Wer auf HTML-E-Mails nicht verzichten möchte, sollte mindestens die Ausführung aktiver Inhalte unterdrücken. Somit können schadhafte Skripte nicht mehr ausgeführt werden.

Neue Versionen von Schadsoftware werden nur selten sofort über normale Antiviren-Signaturen erkannt. Daher sollten bei professioneller Antivirensoftware konsequent alle verfügbaren Module genutzt werden. Auch die Software an sich sollte immer auf dem neuesten Stand sein.

Ein Backup ist die wichtigste Schutzmaßnahme, mit der im Falle eines Ransomware-Vorfalls die Verfügbarkeit der Daten gewährleistet ist. Privatanwender können ihre Daten entweder regelmäßig auf einer externen Festplatte sichern oder in einer Cloud speichern.

Wann ist Vorsicht geboten?

Die häufigsten Angriffe, über die Systeme mit Ransomware infiziert werden, sind Anhänge von Spam-E-Mails sowie Drive-by-Angriffe mittels Exploit-Kits, die im Hintergrund nach Schwachstellen zum Beispiel im Browser suchen. Nach Auswertung der dem BSI vorliegenden Daten war Deutschland im ersten Quartal 2016 hauptsächlich von den Ransomware-Familien Locky, TeslaCrypt, Nemucod, CryptoWall, CTB-Locker und Petya betroffen. Seit Mai gibt es mit Cerber eine weitere in Deutschland häufig festgestellte Ransomware-Familie. Die Bedrohungslage in Deutschland hat sich seit Herbst 2015 verschärft.

Die Ransomware ist häufig in Spam-E-Mails versteckt, die beispielsweise angebliche Rechnungen, Bestellbestätigungen, Paketlieferungen, eingescannte Dokumente, Bewerbungsschreiben, Fax-Nachrichten oder angebliche Fotos enthalten sollen. Dabei werden Absender-Namen von bekannten oder unbekannten Unternehmen sowie von Privatpersonen verwendet. Der Nutzer soll so dazu verleitet werden, Anhänge der Mails zu öffnen. Beobachtet werden:

  • Office-Dokumente oder Vorlagen (.doc/.xls, .docm .dot .xlsm) mit Makros
  • Archiv-Dateien mit oder ohne Passwort-Schutz (.zip .rar)
  • Script-Dateien wie JavaScript, VisualBasicScript oder PowerShell-Scripte (.js .vbs .ps1 .wsf)
  • Programmdateien (.exe), die z.B. mit einem PDF-Icon als Dokument getarnt sind
  • Script-Dateien mit mehreren Dateiendungen, wie script.pdf.js. Ist die Anzeige der Dateiendung deaktiviert (Standardeinstellung bei Microsoft Windows), wird suggeriert, dass es sich um ein Dokument und kein Script handelt.

Was muss ich tun, wenn ich doch betroffen bin?

Zur Begrenzung des möglichen Schadens sollten infizierte Systeme zunächst umgehend vom Netz getrennt werden. Am schnellsten geht dies durch die Trennung des Netzwerkkabels vom Computer und die Abschaltung etwaiger WLan-Adapter.

Und dann? Auf keinen Fall zahlen und Anzeige bei der Polizei erstatten, rät das BSI. Jede erfolgreiche Erpressung zeigt den Erfolg des Angriffs und motiviert den Angreifer weiter zu machen. Sie finanziert die Weiterentwicklung der Schadsoftware und fördert deren größeren Verbreitung. Zudem gibt es keine Garantie, dass die Verbrecher auch ihr „Wort halten“ und die Entschlüsselung ermöglichen. Polizeiliche Ermittlungen ermöglichen weitergehende Untersuchungen, wie beispielsweise dem Fluss der gezahlten Lösegelder zu folgen. Privatpersonen können bei der nächsten lokalen Polizeidienststelle Anzeige erstatten.

Um Spuren der Attacke zu sichern, kann ein Experte hinzugezogen werden. Erst danach sollte mit der Datenwiederherstellung begonnen werden. Sinnvoll ist eine Neuinstallation des infizierten Systems. Weitere Informationen gibt es hier.

zur Startseite

von
erstellt am 13.Mai.2017 | 12:44 Uhr

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Diskutieren Sie mit.

Leserkommentare anzeigen