Im Juni 2017 erreichte die damalige Ransomware-Welle einen bemerkenswerten Höhepunkt: Von einem Update der ukrainischen Steuer-Software „MeDoc“ ausgehend, verbreitete sich ein neuartiger Verschlüsselungs-Trojaner. Diese Software nutzte jedes Unternehmen, das in der Ukraine Steuern zahlen musste. Geschätzt waren rund 1 Million Rechner betroffen, unter anderem multinationale Konzerne wie die Logistikunternehmen Maersk, Fedex oder Mondelez.
Bemerkenswert war die neuartige Verbreitung über ein eigentlich vertrauenswürdiges Softwareupdate. Bisherige Kampagnen nutzten meist externe Kanäle wie Phishing-Mails oder Exploit-Kits. Die Auswirkungen von NotPetya waren verheerend, der Schaden wird auf ca. 1 Milliarde Dollar geschätzt. Maersk hatte beispielsweise einen großflächigen IT-Ausfall zu beklagen und musste zehn Tage vollkommen analog arbeiten.[1]
NotPetya verdeutlicht, welches Gefahrenpotential derartige Angriffe auch in Zukunft bergen. Bei der Risikominimierung hilft die Optimierung folgender fünf Bereiche.
1) Starke Vernetzung mit externen Ökosystemen erhöht das Risiko
Die gesamtheitliche Betrachtung der Cybersecurity umfasst nicht nur das eigene Unternehmen, sondern alle Zulieferer, Partnerschaften, Behörden, Verwaltungseinrichtungen und Regulatorien.
Auch wenn die Security-Vorkehrungen und Prozesse im eigenen Unternehmen ausgereift und unter Kontrolle sind, können sich Angreifer über andere Kanäle Zugang verschaffen. Hier gilt es zusätzliche Trennungen, Kontrollen und auch mögliche Perimeter voraussehend einzuplanen, um interne, laterale Verbreitungen von Beginn an zu erschweren. IT-Sicherheit in der gesamten „Supply-Chain“ gewinnt seit diesem und anderen Zwischenfällen deutlich an Bedeutung.[2]
2) Vollständiges Inventory und lückenloses Patch-Management notwendig
Kurz vor NotPetya trieb WannaCry unter Ausnutzung bekannter Betriebssystem-Schwachstellen sein Unwesen. Trotz Vorwarnungen wurden verwundbare Systeme zu wenig gesichert bzw. nicht mit den verfügbaren Updates ausgestattet.
Eine vollständige Übersicht über vorhandene Systeme und Software ist essenziell für ein gutes Risiko- und Patchmanagement. Wiederkehrende Aufgaben wie reguläre Sicherheitsupdates sollen möglichst automatisiert erfolgen. Hier gibt es weiterhin Potential für Verbesserungen, besonders bei Nicht-Standard-Systemen. Schon bei der Beschaffung sollten Zulieferer und Hersteller daraufhin überprüft werden, bevor inmitten einer sauberen IT-Umgebung einige geschlossene Inselsysteme das Risiko für das ganze Unternehmen in die Höhe treiben. Angreifer suchen gezielt das schwächste Glied in der Kette aus.
3) Verbesserung von Incident- und Recovery Plänen
Das Ausarbeiten verschiedener Szenarien –auch mit Worst-Case Annahmen – ist eine wichtige Hausaufgabe, um im Fall des Falles auf allen Ebenen gut agieren zu können. Wenngleich oft als unnötig erachtet oder vor sich hergeschoben, ist ein fertiger Maßnahmenplan für schnelle Reaktionen in technischen und organisatorischen Bereichen im Schadensfall unbezahlbar.
Rasche Gegenreaktionen können oft das Gröbste verhindern und sind inzwischen auch zur Erfüllung der DSGVO erforderlich. Auch gut vorbereitete Kundenkommunikation hilft, einen langfristigen Unternehmensschaden abzuwenden.[3]
4) Hochverfügbarkeit ist gut, Backup ist viel wichtiger
Die vielbeachtete Hochverfügbarkeit der IT-Systeme ist eigentlich nur die Kür. Ein funktionierendes Backup von IT-Systemen ist die wichtigere Pflicht. Auch wenn viele IT-Systeme inzwischen mit Hochverfügbarkeitseinrichtungen glänzen: Im Falle einer grundlegenden Kompromittierung hilft nur ein integreres, vertrauenswürdiges externes Backup von Daten und Systemen, das nicht vom aktuellen Vorfall betroffen ist.
Genauso wichtig ist ein regelmäßiger Test, ob mit diesen Backup-Daten wirklich eine vollständige System- und Datenwiederherstellung innerhalb der geplanten Zeitspanne möglich ist. Nachträgliche Erweiterungen und Änderungen können zu gefährlichen Show-Stoppern werden. Wie bei Feuer- und Evakuierungsübungen sollten regelmäßige Probeläufe am Programm stehen, um Fehler frühzeitig zu erkennen und zu beheben.
5) Eine Cyber-Security Versicherung hilft nicht immer
Wer sich gegen Gefahren durch externen Risiko-Transfer, also durch Abschließen einer Versicherung, absichern möchte, sollte das Kleingedruckte lesen. Der Schweizer Lebensmittelkonzern Mondelez wurde schwer von der Ransomware NotPetya getroffen und hatte ca. 100 Millionen Euro Schaden zu beklagen. Die Versicherung weigerte sich aber, den vollen Betrag zu bezahlen, und verwies auf den Ausschluss von Leistungen bei „feindlichen oder kriegerischen Handlungen einer Regierung“. Das Gerichtsverfahren dazu läuft noch – zu denken geben sollte jedenfalls die Tatsache, dass unter Umständen nicht jeder Vorfall mit einer Polizze abgedeckt ist.[4]
Schieben Sie Ihre umfassende IT-Vorbereitung nicht leichtfertig auf die lange Bank. Nehmen Sie die Pläne unter realistischen Verbesserungen der Gesamtsituation Schritt für Schritt in Angriff. Denn die Frage ist mittlerweile nicht mehr, ob ein Vorfall eintritt, sondern wann.
[1] https://www.heise.de/newsticker/meldung/Nach-NotPetya-Angriff-Weltkonzern-Maersk-arbeitete-zehn-Tage-lang-analog-3952112.htm
[2] https://www.sichere-industrie.de/ransomware-notpetya-was-passierte-wer-vermutlich-dahinter-steckt-warum-eine-versicherung-den-schaden-nicht-bezahlt-und-wie-sie-sich-davor-schuetzen-koennen/
[3] https://www.cbronline.com/digital-transformation/lessons-learned-notpetya/
[4] https://www.inside-it.ch/de/post/war-notpetya-ein-kriegsakt-20190111