Julian Totzek-Hallhuber

ist Solution Architect bei Veracode

SicherheitSicherheitsmanagement

Petya und WannaCry nur Erpressung? Nein!

WannaCry und Petya, glaubt Julian Totzek-Hallhuber von dem Anwendungssicherheitsexperten Veracode, ging es um etwas Größeres, als das erpresste Geld.

Haben Sie Jurassic Park gesehen? Und erinnern Sie sich an die Szene, die uns die Intelligenz der kleinen Velociraptoren mehr als deutlich vor Augen führt? Auf der Suche nach einem Fluchtweg aus ihrem Gehege testen die Fleischfresser den elektrischen Zaun sehr systematisch auf Schwachstellen und speichern sich ab, wo der Stromfluss am stärksten und wo am schwächsten ist. Sobald sie die erfolgversprechendste Schwachstelle im System gefunden haben – in diesem Fall einen muffigen Angestellten, der den Strom abstellt – ist das Entkommen ein Leichtes, mit dramatischen Folgen.

Petya-Lockscreen (Bild: G Data)
Petya-Lockscreen (Bild: G Data)

Warum ich das hier so ausführlich erzähle? Meiner Meinung nach ist dieses Konzept genau das gleiche wie das, das Cyberkriminelle in der echten Welt verfolgen: Nur, dass sie im Gegensatz zu den Velociraptoren keinen Weg raus, sondern vielmehr rein suchen.

Die Ransomware-Angriffe mit WannaCry und Petya haben erst kürzlich dazu geführt, dass Hunderte von Krankenhäusern, Läden und kritischen Infrastrukturen gehackt wurden. Auf den ersten Blick sieht das alles so aus, als ob die Angreifer einfach nur einen schnellen Euro machen wollten, indem sie die betroffenen Unternehmen erpresst haben: Geld gegen Daten und Encryption Keys. Was mich aber sehr stutzig werden lässt ist, dass die Hacker weder Kontaktinformationen gestohlen, noch tatsächlich Encryption Keys zur Verfügung gestellt haben. Geld scheint also doch nicht das eigentliche Motiv gewesen zu sein.

Ransomware als Test für größere Angriffe

Damit will ich nicht sagen, dass Ransomware kein effektiver Weg ist, Geld von Unternehmen zu erpressen. Im Gegenteil: Besonders im Gesundheitswesen spielt das eine große Rolle, denn hier geht es wortwörtlich ums Überleben. Aber es gibt durchaus andere – stillere und lukrativere – Wege, mit Cybercrime ein Vermögen zu machen. So lassen sich allein schon Zehntausende Euro verdienen, wenn persönliche Kreditkarten- und Versicherungsdaten gestohlen und über das Dark Web verkauft werden.

Twitter-Nutzer haben die Ransomware auch bei Rechnern der Deutschen Bahn entdeckt - hier in Wiesbaden (Screenshot: silicon.de bei Twitter)
Nutzer veröffentlichten bei Twitter zahlreiche Fotos die zeigen, dass die Ransomware WannaCry auch bei Rechnern der Deutschen Bahn zugeschlagen hat (Screenshot: silicon.de bei Twitter)

Warum also sollten die Hacker so einen massiven Angriff starten, wenn sie das finanziell nicht richtig ausnutzen wollen? Aus meiner Sicht ist die Antwort glasklar: Sie testen unsere Security-“Zäune” und wollen Schwachstellen finden. Sie wollen herausfinden, wie lange wir brauchen, um einen Angriff zu bemerken, wie wir darauf reagieren und wie schwierig es überhaupt ist, einen solchen Angriff erfolgreich durchzuführen.

Wie ein Brandstifter, der erst einmal ein Feuer in einem Vorort legt, um zu testen, wie lange die Feuerwehr braucht. Diese Kriminellen betreiben mit Ransomware-Attacken wie WannaCry und Petya Aufklärungsarbeit, um sich auf größere, vielleicht sogar koordiniertere Angriffe vorzubereiten.

Viren und Schwachstellen statt Bomben und Gewehre

Woher die Angriffe kommen und wer das eigentliche Ziel ist, darüber können wir nur spekulieren. Schaut man sich aber an, dass Terroristen, Kriegstreiber und Saboteure immer häufiger auf Viren und Software-Schwachstellen setzen statt auf Bomben und Gewehre, dann ist eine solche Vermutung sicher nicht zu weit hergeholt. Für mich ist es durchaus wahrscheinlich, dass Gruppierungen, die Menschen und Regierungen treffen wollen, zuerst Schwachstellen testen, bevor sie einen richtigen Angriff starten.

Ausgewähltes Webinar

Wie modernes Endgeräte-Backup das Problem der Datenmigration löst

Eine durchschnittliche technische Erneuerung beschäftigt die IT sowie den Benutzer ungefähr 2 ½ Stunden. Das geht aber auch anders. Wie, erfahren Sie in diesem Whitepaper.

Heute ist unsere gesamte Wirtschaft abhängig von Software – ein digitaler Angriff wird also immer auch Konsequenzen für die echte, physische Welt haben. Und selbst wenn es bei den Attacken doch “nur” um Erpressung ging, zeigen sie doch sehr anschaulich, wie mangelhaft der Entwicklungs- und Produktionsprozess von Soft- und Hardware häufig ist. Und zwar nicht nur uns, sondern auch den richtig schlimmen Jungs.

Software-Sicherheit ist eine Frage der nationalen Sicherheit

Hier können wir nicht mehr länger den Kopf in den Sand stecken. Software-Sicherheit ist heute gleichbedeutend mit nationaler Sicherheit und wir müssen dringend die Rolle überdenken, die Software für diese Sicherheit spielt. Der Einsatz von Erkennungs-Software ist hier definitiv nicht die richtige Strategie, denn das hieße, dass wir immer erst angegriffen werden müssen, bevor wir reagieren können. Gleichzeitig dauert es zu lange, auf Software zur Fehlererkennung zu setzen – von der Zeit bis zu einer tatsächlichen Reaktion mal ganz abgesehen. Bis wir die Schwachstelle so entdecken, können Cyberkriminelle schon längst am Werk gewesen sein.

Um solche Angriffe wirklich zu verhindern, muss die Sicherheitskomponente schon in die Entwicklung integriert werden. Entwickler müssen währenddessen nicht nur nach funktionalen Bugs, sondern eben auch nach möglichen Schwachstellen Ausschau halten.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Bei Petya und WannaCry hatten es die Angreifer scheinbar nur auf relativ kleine Geldbeträge abgesehen. Aber wie lange wird es noch dauern, bevor Terroristen oder gar Regierungen genug getestet haben und zum richtigen Angriff auf Infrastrukturen übergehen? Ich für meinen Teil möchte lieber nicht miterleben, wie die fleischfressenden Raptoren aus ihrem Gehege entwischen.

Julian Totzek-Hallhuber ist Solution Architect beim Spezialisten für Anwendungssicherheit Veracode und bringt mehr als 15 Jahre Erfahrung im IT-Sicherheitsumfeld mit. In seinen verschiedenen Funktionen war er für die Anwendungsentwicklung, für Penetrationstests sowie für die Sicherheit von Webanwendungen zuständig. Zudem ist er Autor zahlreicher Artikel, regelmäßig als Sprecher auf Messen anzutreffen und hat bei Projekten von www.webappsec.org mitgewirkt. CA Veracode, das Anwendungssicherheitsportfolio von CA Technologies, stellt die am häufigsten verwendete cloud-basierte Plattform zur Verfügung, um Web- und Mobilanwendungen sowie Applikationen von Drittanbietern zu schützen.