Update

Das BSI hat am 7. Juli 2017 in einer Pressemitteilung bekanntgegeben, dass »bereits seit April 2017 in mehreren Wellen unterschiedliche Schadsoftwarevarianten über die Update-Funktion der in der Ukraine weit verbreiteten Buchhaltungssoftware M.E.Doc verteilt wurde. Damit können auch Unternehmen von diesem Cyber-Angriff betroffen sein, die M.E.Doc einsetzen, aber augenscheinlich nicht vom öffentlich bekanntgewordenen Verschlüsselungstrojaner Petya betroffen waren. Auch Datensicherungen (Backups), die nach dem 13.04.2017 angelegt wurden, müssen als potentiell kompromittiert betrachtet werden.« Zitat: BSI, 7. Juli 2017

Auf der im vorstehenden Link genannten Seite des BSI finden Sie entsprechende Schutzmaßnahmen, die Sie schnellstens durchführen sollten.
Gerne können Sie sich auch für Unterstützung an uns wenden.

______________________________

Am 27. Juni 2017 breitete sich ein neuer Verschlüsselungstrojaner aus, der zwar Parallelen zum kürzlich verbreiteten WannaCryptor aufweist, aber andere Verhaltensweisen und Verbreitungstechniken nutzt. Er verwendet zwar auch die »EternalBlue« getaufte Lücke zur Verbreitung, kann aber auch auf andere Methoden (WMIC und psexec) zurückgreifen und geht dabei gezielter vor: Er verbreitet sich größtenteils nur in lokalen Netzabschnitten und kann dafür sogar lokale Privilegien auslesen. Obendrein wird Code zum Verändern des MBR aus einem vor einiger Zeit aufgetauchten Trojaner namens »Petya« verwendet.

Weiterführende Informationen auf Englisch finden Sie hier und hier.

Ein erfolgreicher automatischer Angriff auf das eigene Unternehmen hat mehrere Konsequenzen. Im konkreten Fall reicht es nicht aus, das Backup einzuspielen und den Vorfall zu vergessen. Ein Einbruch in das interne Netzwerk stellt das Unternehmen und dessen IT vor besondere Herausforderungen. Der offensichtliche Schaden, also das Verschlüsseln von Daten und das Sperren von Computern, lenkt schnell von dem eigentlichen Problem ab.

Wie ist das Schadprogramm überhaupt in das Netzwerk gekommen?
Welche Daten wurden möglicherweise entwendet?
Bin ich verpflichtet die Landesdatenschutzbehörde über den Vorfall zu informieren?
Wurde eine Hintertür eingebaut, sodass das Netzwerk nach der Reparatur weiterhin angreifbar ist?
Wie schnell können die Sicherheitslücken geschlossen werden um einen weiteren Angriff zu verhindern?

Auf diese Fragen können im Regelfall ausschließlich Experten eine Antwort geben, die eine notwendige forensische Analyse des Netzwerkes durchgeführt haben. Betroffenen Firmen der aktuellen Schadsoftware wird dringend geraten das geforderte Lösegeld für die Daten nicht zu zahlen, da eine Entschlüsselung der Daten durch die Angreifer für gewöhnlich nicht erfolgen wird.

Mit einem scheinbaren Schutz vor derartigen Angriffen werben aktuell viele Anbieter. An dieser Stelle sollte man eines ganz klar verstehen: Das erste Ziel jener Attacken sind nicht die Firewalls oder Server, sondern das schwächste Glied in der Kette: der Mensch. Daher kann Sicherheitssoftware nur bedingt Schutz bieten. Ein logischer und von Grund auf sicherheitseffizienter Aufbau des gesamten Netzwerkes mit minimalen Zugriffsrechten stellen das Fundament einer sicheren Infrastruktur dar, welches durch regelmäßige Überprüfungen immer weiter gehärtet wird. Ein weiterer Baustein ist ein lückenloses Patchmanagement, welches sowohl alle Teilnehmer im Netzwerk regelmäßig und schnell mit neusten Updates versorgt als auch überprüft, ob diese nicht nur installiert wurden, sondern auch aktiv sind.

Sie benötigen Unterstützung bei diesen Themen? Wir freuen uns, von Ihnen zu hören.