Drei Jahre nach NotPetya: 5 Tipps für Ihr Unternehmen

20. Juli, 2020

Im Juni 2017 erreichte die damalige Ransomware-Welle einen bemerkenswerten Höhepunkt: Von einem Update der ukrainischen Steuer-Software „MeDoc“ ausgehend, verbreitete sich ein neuartiger Verschlüsselungs-Trojaner. Diese Software nutzte jedes Unternehmen, das in der Ukraine Steuern zahlen musste. Geschätzt waren rund 1 Million Rechner betroffen, unter anderem multinationale Konzerne wie die Logistikunternehmen Maersk, Fedex oder Mondelez.

Bemerkenswert war die neuartige Verbreitung über ein eigentlich vertrauenswürdiges Softwareupdate. Bisherige Kampagnen nutzten meist externe Kanäle wie Phishing-Mails oder Exploit-Kits. Die Auswirkungen von NotPetya waren verheerend, der Schaden wird auf ca. 1 Milliarde Dollar geschätzt. Maersk hatte beispielsweise einen großflächigen IT-Ausfall zu beklagen und musste zehn Tage vollkommen analog arbeiten.[1]

NotPetya verdeutlicht, welches Gefahrenpotential derartige Angriffe auch in Zukunft bergen. Bei der Risikominimierung hilft die Optimierung folgender fünf Bereiche.

1) Starke Vernetzung mit externen Ökosystemen erhöht das Risiko

Die gesamtheitliche Betrachtung der Cybersecurity umfasst nicht nur das eigene Unternehmen, sondern alle Zulieferer, Partnerschaften, Behörden, Verwaltungseinrichtungen und Regulatorien.

Auch wenn die Security-Vorkehrungen und Prozesse im eigenen Unternehmen ausgereift und unter Kontrolle sind, können sich Angreifer über andere Kanäle Zugang verschaffen. Hier gilt es zusätzliche Trennungen, Kontrollen und auch mögliche Perimeter voraussehend einzuplanen, um interne, laterale Verbreitungen von Beginn an zu erschweren. IT-Sicherheit in der gesamten „Supply-Chain“ gewinnt seit diesem und anderen Zwischenfällen deutlich an Bedeutung.[2]

2) Vollständiges Inventory und lückenloses Patch-Management notwendig

Kurz vor NotPetya trieb WannaCry unter Ausnutzung bekannter Betriebssystem-Schwachstellen sein Unwesen. Trotz Vorwarnungen wurden verwundbare Systeme zu wenig gesichert bzw. nicht mit den verfügbaren Updates ausgestattet.

Eine vollständige Übersicht über vorhandene Systeme und Software ist essenziell für ein gutes Risiko- und Patchmanagement. Wiederkehrende Aufgaben wie reguläre Sicherheitsupdates sollen möglichst automatisiert erfolgen. Hier gibt es weiterhin Potential für Verbesserungen, besonders bei Nicht-Standard-Systemen. Schon bei der Beschaffung sollten Zulieferer und Hersteller daraufhin überprüft werden, bevor inmitten einer sauberen IT-Umgebung einige geschlossene Inselsysteme das Risiko für das ganze Unternehmen in die Höhe treiben. Angreifer suchen gezielt das schwächste Glied in der Kette aus.

3) Verbesserung von Incident- und Recovery Plänen

Das Ausarbeiten verschiedener Szenarien –auch mit Worst-Case Annahmen – ist eine wichtige Hausaufgabe, um im Fall des Falles auf allen Ebenen gut agieren zu können. Wenngleich oft als unnötig erachtet oder vor sich hergeschoben, ist ein fertiger Maßnahmenplan für schnelle Reaktionen in technischen und organisatorischen Bereichen im Schadensfall unbezahlbar.

Rasche Gegenreaktionen können oft das Gröbste verhindern und sind inzwischen auch zur Erfüllung der DSGVO erforderlich. Auch gut vorbereitete Kundenkommunikation hilft, einen langfristigen Unternehmensschaden abzuwenden.[3]

4) Hochverfügbarkeit ist gut, Backup ist viel wichtiger

Die vielbeachtete Hochverfügbarkeit der IT-Systeme ist eigentlich nur die Kür. Ein funktionierendes Backup von IT-Systemen ist die wichtigere Pflicht. Auch wenn viele IT-Systeme inzwischen mit Hochverfügbarkeitseinrichtungen glänzen: Im Falle einer grundlegenden Kompromittierung hilft nur ein integreres, vertrauenswürdiges externes Backup von Daten und Systemen, das nicht vom aktuellen Vorfall betroffen ist.

Genauso wichtig ist ein regelmäßiger Test, ob mit diesen Backup-Daten wirklich eine vollständige System- und Datenwiederherstellung innerhalb der geplanten Zeitspanne möglich ist. Nachträgliche Erweiterungen und Änderungen können zu gefährlichen Show-Stoppern werden. Wie bei Feuer- und Evakuierungsübungen sollten regelmäßige Probeläufe am Programm stehen, um Fehler frühzeitig zu erkennen und zu beheben.

5) Eine Cyber-Security Versicherung hilft nicht immer

Wer sich gegen Gefahren durch externen Risiko-Transfer, also durch Abschließen einer Versicherung, absichern möchte, sollte das Kleingedruckte lesen. Der Schweizer Lebensmittelkonzern Mondelez wurde schwer von der Ransomware NotPetya getroffen und hatte ca. 100 Millionen Euro Schaden zu beklagen. Die Versicherung weigerte sich aber, den vollen Betrag zu bezahlen, und verwies auf den Ausschluss von Leistungen bei „feindlichen oder kriegerischen Handlungen einer Regierung“. Das Gerichtsverfahren dazu läuft noch – zu denken geben sollte jedenfalls die Tatsache, dass unter Umständen nicht jeder Vorfall mit einer Polizze abgedeckt ist.[4]

Schieben Sie Ihre umfassende IT-Vorbereitung nicht leichtfertig auf die lange Bank. Nehmen Sie die Pläne unter realistischen Verbesserungen der Gesamtsituation Schritt für Schritt in Angriff. Denn die Frage ist mittlerweile nicht mehr, ob ein Vorfall eintritt, sondern wann.

 

[1] https://www.heise.de/newsticker/meldung/Nach-NotPetya-Angriff-Weltkonzern-Maersk-arbeitete-zehn-Tage-lang-analog-3952112.htm

[2] https://www.sichere-industrie.de/ransomware-notpetya-was-passierte-wer-vermutlich-dahinter-steckt-warum-eine-versicherung-den-schaden-nicht-bezahlt-und-wie-sie-sich-davor-schuetzen-koennen/

[3] https://www.cbronline.com/digital-transformation/lessons-learned-notpetya/

[4] https://www.inside-it.ch/de/post/war-notpetya-ein-kriegsakt-20190111

Red Teams, Blue Teams, Purple Teaming

MSSP of the Year 2024

SIEM

Was ist ein SIEM?

Nozomi Guardian Air
HarfangLab Guard
MITRE ATT&CK Framework
v.l.n.r.: Joe Pichlmayr (CEO IKARUS) – Anouck Teiller (CSO HarfangLab) –Alexander van der Bellen (Bundespräsident Österreich) - Frédéric Joureau (Erster Botschaftsrat der französischen Botschaft in Wien) – Christian Fritz (COO IKARUS)
EDR
Cyber Kill Chain
Business Email Compromise
Prognosen für die zehn größten Cybersecurity-Bedrohungen für 2030
E-Mail Verschlüsselung
Schritt für Schritt zum Notfallplan für IT-Security-Incidents
Account Management
Bedrohung

WIR FREUEN UNS AUF SIE!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 1 58995-0
Sales Hotline: +43 1 58995-500
sales@ikarus.at

SUPPORT-HOTLINE:

Support-Infoseite

Support-Hotline:
+43 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr
24/7 Support nach Vereinbarung

Fernwartung:
AnyDesk Download