13.11.2017 Große Sicherheitslücken

Ransomware-Angriffe auf IoT-Geräte

Von: Ina Schlücker

Vernetzte Geräte im Internet of Things (IoT) gelten als prädestinierte Einfallstore für Ransomware-Angriffe, erklärt Klaus Lenssen von Cisco Germany.

Klaus Lenssen, Cisco Germany

Klaus Lenssen ist Chief Security Officer und Head Security & Trust Office bei Cisco Germany.

IT-DIRECTOR: Herr Lenssen, aus welchen Gründen konnten die Ransomware-Attacken Petya und Wanna Cry so erfolgreich verlaufen?
K. Lenssen:
Einer der entscheidenden Gründe waren offene Sicherheitslücken, für die bereits seit längerem Patches seitens der Hersteller bereitstanden. Sie wurden aber nicht genutzt. Die Sicherheitsarchitekturen der Unternehmen sind über die Jahre sehr komplex geworden; über die Zeit wurden immer mehr Sicherheits-Tools mit unterschiedlichen Aufgaben eingeführt. Dies hat zur Folge, dass der Pflegeaufwand durch die Vielzahl an Tools steigt und deren Wechselwirkungen untereinander größere Angriffsflächen bietet. Somit steigt leider auch das Risiko eines erfolgreichen Angriffs. Diesen fragmentierten Sicherheitswerkzeugkasten gilt es, zu entrümpeln und durch Konsolidierung wieder funktionsfähig zu machen.

IT-DIRECTOR: Welche Sicherheitslücken – über die Schwachstellen in Windows-Betriebssystemen hinaus – nutzen die Angreifer weiterhin für Ransomware-Attacken aus?
K. Lenssen:
Der zunehmende Vernetzungsgrad von Geräten durch das Internet of Things (IoT) ist ein aktuelles Thema. Sicherheitsforscher unseres Partners TrapX Security warnen beispielsweise vor Ransomware-Angriffen auf medizinische Geräte und geben diesem Angriffsvektor die passende Bezeichnung Medjack. Wie viele IoT-Geräte sind die meisten medizinischen Geräte nicht mit einem Fokus auf IT-Sicherheit entwickelt worden. In kleinen und mittleren Krankenhäusern beispielsweise verantworten fünf bis sechs Personen in der IT 12.000 bis 15.000 medizinische Geräte, von denen etwa zehn Prozent auf IP-Basis miteinander vernetzt sind. Werden dort Schwachstellen – etwa durch fehlende Zugriffsrechte oder das Abschalten eines Gerätes – nicht gepatcht, öffnet man den Angreifern ein Einfallstor.

IT-DIRECTOR: Wie sollten Nutzer und Firmenverantwortliche reagieren, wenn sie Opfer von Erpresser-Software werden?
K. Lenssen:
Sie sollten den Vorfall den Behörden melden. Die Landeskriminalämter betreiben zur Nachverfolgung der Angriffe jeweils eigene Cyber-Crime-Kompetenzzentren. Darüber hinaus ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Betreiber Kritischer Infrastrukturen (Kritis) der im Rahmen des IT-Sicherheitsgesetzes vorgeschriebene Ansprechpartner.

IT-DIRECTOR: Mittlerweile hört man immer wieder von „Ransomware as a Service“. Was genau steckt dahinter?
K. Lenssen:
Dieser Begriff bezeichnet das Phänomen, dass sich auch Kriminelle arbeitsteilig organisieren und Ransomware als Dienstleistung anbieten. Spezialisten programmieren dabei die Schad-Software, andere erstellen daraus einfach nutzbare Pakete und wieder andere bieten diese gegen Gebühr oder Gewinnbeteiligung an. So können letztlich auch Kriminelle mit wenig IT-Kenntnissen Erpressungs-Software verschicken oder sogar die komplette ‚Kampagne’ auslagern.

IT-DIRECTOR: Welche Maßnahmen sollten die Verantwortlichen in den Unternehmen in die Wege leiten, um künftig vor Ransomware-Attacken gefeit zu sein?
K. Lenssen:
Man sollte sicherstellen, dass nur Hard- und Software im Einsatz sind, die auch vom Hersteller unterstützt und gewartet werden. Ist diese Voraussetzung nicht gegeben, entstehen Sicherheitsrisiken, die nur noch schwer zu managen sind. Zentral ist das Patch-Management, das zeitnahes Einspielen von Sicherheits-Updates garantiert. Beide Punkte sind die Basis für den sicheren Betrieb einer umfassenden Sicherheitsarchitektur. Diese Architektur sollte verschiedene Netzwerksicherheitslösungen beinhalten, wie Next Generation Firewall und Next Generation Intrusion Protection. Alles in Kombination mit cloud-basierter Advanced Malware Protection auf dem Endgerät und im Netzwerk.

IT-DIRECTOR: Oder anders gefragt: Wie sieht eine IT-Landschaft aus, die einem erfolgreichen Ransomware-Angriff standhalten und kritische Applikationen und Daten schnell wiederherstellen kann?
K. Lenssen:
Unternehmen sollten dazu folgende Punkte berücksichtigen: ausreichend personelle Ressourcen für anspruchsvolle Aufgaben bereitstellen, effektives und zeitnahes Patch-Management, ausschließlicher Einsatz von Produkten, die unter Wartung sind, rechtzeitige Ablösung von Produkten, die das Ende ihres Lebenszyklus erreicht haben und Konsolidierung gewachsener Infrastrukturen. Außerdem sind Tool-Landschaften so einzusetzen, damit Prozesse automatisiert und besser überwacht werden können. Eine Business-Continuity-Planung und Disaster Recovery sind außerdem Pflicht.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH