18.05.2017 Kommentar von Robert Engel, Geschäftsführer der Raz-Lee Security GmbH

WannaCry – Gefahr für i?

Von: Robert Engel,

Der Ransomware-Angriff WannaCry hat für große Aufregung in europäischen Unternehmen gesorgt. Zum großen Teil waren die Problem wieder mal hausgemacht. Zu lax wurde mit den Sicherheits-Updates umgegangen, denn bekannte Sicherheitsprobleme in Windows-Betriebssystemen wurden nicht behoben. Das ist ein guter Einstieg für Schadsoftware dieser Art.

Robert Engel fordert ein restriktives Verwalten der Freigaben im IFS

Müssen wir beim IBM-System Power i auch Angst vor WannaCry haben? Zwei Aspekte gilt es hier zu berücksichtigen. Zum einen ist unser Betriebssystem IBM i und seine Vorgängerversionen gegen jede bisher bekannte Schadsoftware resistent. Diese können uns also im nativen System – mit unseren Bibliotheken, Programmen und Dateien – keinen Schaden anrichten. Zum anderen gibt es aber im Betriebssystem IBM i auch das integrierte Dateisystem IFS, das Dateien in PC-Formaten verwaltet. Diese Dateien, gepaart mit zu umfangreichen Freigaben auf die Verzeichnisse, können schon Probleme verursachen.

Selbst wir als Hersteller einer nativen Antiviren-Lösung können da zum Teil nur machtlos zusehen. Der Grund dafür ist, dass Verschlüsselungstrojaner Dateien nicht mit Schadcode anreichern, sondern einfach nur verschlüsseln. Das an und für sich ist kein Problem, da ja Datenverschlüsselung durchaus eine Methode ist um Dokumente vor unbefugten Zugriffen zu schützen.

Verschlüsselung an sich ist kein Problem

Verschlüsselung ist – aus Sicht der IBM i und der nativen  Antiviren-Software – nur das Öffnen und veränderte Speichern von den im IFS abgelegten Daten. Die Erkennung, ob das Programm (das  die Dateien in diesem Fall unrechtmäßig verschlüsselt) einen Schadcode enthält, müssen in diesem Fall die Virenscanner an den Windows-Clients übernehmen.

Was wir tun können, um den Schaden zu reduzieren, ist relativ einfach: Restriktives Verwalten der Freigaben im IFS – nur diejenigen Verzeichnisse wirklich freigeben und ausschließlich denjenigen Benutzern zuordnen, welche diese auch brauchen. Und was ganz wichtig ist: Kein Root-Verzeichnis im IFS freigeben und Benutzern zuordnen. Das predigen wir seit Jahren – und doch gibt es unzählige IBM-i-Systeme mit freigegebenem Root-Verzeichnis.

Das Root-Verzeichnis besser schützen

Wer sich vor Augen führt, dass im Root-Verzeichnis neben den banalen Dokumentverzeichnissen auch Dateisysteme wie QOpenSys, QIBM und natürlich QSYS.LIB – der Zugriff auf unsere Bibliotheken und Dateien - stehen, erkennt schnell, das hier Gefahren lauern. Zwar können z. B. im QSYS.LIB keine verschlüsselten Dateien gespeichert werden, oftmals löschen die Trojaner aber die Originaldateien nach Verschlüsselung – und das könnte auch auf IBM i durchaus im Rahmen des Möglichen liegen.

Sicher ist allerdings Eines: Wie auf Windows-Servern, spielt die Datensicherung der IFS-Verzeichnisse eine entscheidende Rolle. Oftmals ist nur die Rücksicherung von nicht verschlüsselten Dokumenten aus dem Backup die einzige Alternative zur Zahlung von Erpressungsgeldern.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH