Wenn ich Cybersicherheitsexperten auf dem Weg zur Arbeit am 12. Mai 2017 befragt hätte, hätten die meisten von ihnen gesagt, sie wüssten, dass ein großes Cybersicherheitsereignis bevorsteht.
Doch an diesem Tag rechnete niemand damit, dass sie sich in einen perfekte Sturm begaben – in Form der Ransomware WannaCry, dem bislang schädlichsten Cyberangriff –, als sie an diesem Frühlingsmorgen mit dem Auto, dem Zug oder der Fähre zu ihren jeweiligen Büros fuhren.
Unsere Geräte, Systeme und Netzwerke sind immer stärker miteinander verbunden – das heißt, Viren können sich viel leichter zwischen Systemen bewegen als früher. Da es in jüngster Vergangenheit aber keine bedeutenden Vorfälle gegeben hat, sind die meisten von uns (selbst ein Journalist für Cybersicherheit wie ich) etwas selbstgefällig geworden. Wenn man diese Faktoren mit der Anzahl der aktiven Geräte und Systeme kombiniert, ist der Weg bereits klar.
Dieser Ransomware-Angriff war das größte Cybersicherheitsereignis, das die Welt je gesehen hatte, unter anderem weil die Auswirkungen weitreichender waren als der Ausbruch selbst. Der Angriff löste bei Unternehmen, in der Politik, in der Hacker-Community und in der Cybersicherheit ein gewaltiges Nachbeben aus.
Selbst nachdem der Kill Switch gefunden worden war, richtete der Virus weiterhin Schaden an jedem System und allen Daten an, mit denen er in Berührung kam – er griff Computersysteme von 300 Organisationen in 150 Ländern an.
Selbst nachdem der Kill Switch gefunden worden war, richtete der Virus weiterhin Schaden an jedem System und allen Daten an, mit denen er in Berührung kam – er griff Computersysteme von 300 Organisationen in 150 Ländern an.
Laut BBC verzeichnete Russland die höchste Anzahl an Infektionsversuchen aller Länder weltweit. Die meisten missionskritischen Server waren jedoch nicht betroffen, da sie mit einer Software aus der Sowjetzeit namens Elbrus betrieben wurden. Die technische Immunität konnte jedoch nicht verhindern, dass sich der Virus auf Computer im ganzen Land ausbreitete. Er legte Endgeräte im Innenministerium, bei der Eisenbahn, bei Banken und beim großen Mobilfunkanbieter Megafon lahm.
Branchen-Newsletter
Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.
Das Berichten über WannaCry hat mich neugierig und voller Fragen zurückgelassen, selbst Jahre später. Wann immer der Angriff in den letzten drei Jahren zum Gesprächsthema wurde, hörte ich die gleichen Worte: WannaCry war überwältigend und veränderte unsere Herangehensweise an Cybersicherheit und unsere Sicht auf Risiken für Unternehmen.
Für mich war dieses Gefühl für einen Vorfall dieser Größenordnung zu allgemein. Ich hatte konkrete Fragen. Wie war es, am 12. Mai 2017 als Sicherheitsexperte zu arbeiten? Welche Auswirkungen hatte dieser Vorfall insgesamt auf Unternehmen und Regierungen weltweit? Wie haben die Erkenntnisse dieses Tages unsere heutige Geschäftswelt, Technologie und Cybersicherheit geprägt?
Ich habe mich auch gefragt, wie sich die Tatsache, dass die ganze Welt das Ereignis über soziale Medien und digitale Nachrichtenseiten verfolgte, auf die Reaktionen und die Gesamtwirkung auswirkte. Geschäftsführer und Mitglieder der Öffentlichkeit verfolgten die Berichterstattung, und niemand wusste genau, was passierte. Fast alle waren sich einig, dass es ein unheilvolles Zeichen war. Ich war auch neugierig, ob dies die öffentliche Panik noch verstärkte oder dazu beitrug, das Problem früher zu lösen.
„Er ist immer noch groß. Es gilt als das, worauf die Unternehmen nicht vorbereitet waren. „Für viele Unternehmen war dies ein wirklich guter Weckruf“, sagt Tracey Nash, Managerin des IBM X-Force Incident Command Program. Nash sieht den 12. Mai 2017 als den Moment, in dem Unternehmen erkannt haben, dass sie die geschäftlichen Aspekte von Cybersicherheitsrisiken berücksichtigen müssen.
Um herauszufinden, was genau passiert ist – und, was noch wichtiger ist, warum WannaCry eine solche Spur der Verwüstung hinterlassen hat –, habe ich mit den wichtigsten Akteuren gesprochen, die auf den Angriff reagiert haben. Eine Person, mit der ich viele Stunden lang gesprochen habe, war Wendi Whitmore, Vizepräsidentin von IBM X-Force Threat Intelligence. Ich habe auch mit Christopher Scott, Direktor für Sicherheitsinnovation und -behebung (Office of the CISO) bei IBM, gesprochen, um seine Sichtweise auf die Ereignisse dieses Tages und die Wiederherstellung nach dem WannaCry-Angriff zu erfahren.
Diese Geschichte erzählt von der Suche nach der Wahrheit über die chaotischen Tage vor drei Jahren und wie die Auswirkungen und das Vermächtnis von WannaCry bis heute nachwirken.
Viele Menschen – sogar branchenführende Cybersicherheitsexperten – erfuhren erstmals durch einen Tweet von dem Angriff. Ein Arzt des britischen Gesundheitssystems (NHS) gehörte zu den Ersten, die auf Twitter über den massiven Angriff berichteten. Es folgten unzählige Kollegen, die Fotos ihrer gesperrten Computerbildschirme zeigten, alle mit derselben Meldung: „Ups, Ihre Dateien wurden verschlüsselt!“
Zu diesem Zeitpunkt ahnten die NHS-Mitarbeiter noch nicht, dass der Angriff letztendlich zu 70.000 infizierten Geräten und einem vollständigen Ausfall eines Drittels aller NHS-Krankenhäuser führen würde. Die Auswirkungen von WannaCry auf den NHS und andere Krankenhäuser weltweit waren ein Beweis dafür, dass Cyberkriminalität im Zeitalter des Internet of Medical Things (IoMT) verheerende Folgen haben kann. Glücklicherweise haben Forscher im Bereich der klinischen Sicherheit eindeutig festgestellt, dass das Chaos durch den Kryptowurm nicht zum Tod von Patienten geführt hat.
Selbst diejenigen, die nicht an ihren Computern saßen, wussten sehr schnell, dass etwas Großes passiert war:
Auf der digitalen Anzeigetafel, die die Ankunfts- und Abfahrtszeiten von Nahverkehrszügen in Deutschland anzeigt, erschien eine Nachfrage nach Bitcoin.
Diese genaue Formulierung tauchte auch auf Dutzenden von Kinoleinwänden in Südkorea auf.
Im indonesischen Jakarta warteten Krankenhauspatienten mehrere Stunden, während die Ärzte von Computersystemen auf Papierakten umstellten.
Whitmore, die damals als globale Partnerin und Leiterin der Einsatzreaktion bei X-Force Threat Intelligence arbeitete, sagt, dass ihr Team fast sofort nach Beginn des Angriffs anfing, sich am Kopf zu kratzen und laut zu sagen: „Das ist seltsam.“
Insbesondere wusste Whitmores Team, dass sie es mit etwas Neuem zu tun hatten, als sie feststellten, dass es buchstäblich unmöglich war, infizierte Dateien freizugeben. Die Ransomware bot Hackern keine Möglichkeit, herauszufinden, wer das Lösegeld gezahlt hatte.
Eine ihrer ersten Prioritäten war es, Kopien der Malware zu beschaffen. Sie wusste, dass man etwas erst dann stoppen kann, wenn man genau weiß, wie es funktioniert. Aber es war schwierig, die Kopien zu beschaffen und zu analysieren, insbesondere unter dem Druck, dass die Welt schnell zum Stillstand kam.
WannaCry war der sich am schnellsten ausbreitende Cyberangriff, den es je gab. Nicht gepatchte Computer mit Internetverbindung konnten innerhalb weniger Minuten zum Opfer werden und den Wurm schnell über ein Netzwerk verbreiten. Viele Nachrichtenberichte beschreiben IT-Teams, die versuchten, den Schaden einzudämmen, während ihre Kollegen ihre Arbeits-PCs hochfuhren.
Als ich Laurance Dine, Global Lead bei X-Force Threat Intelligence (der zu dieser Zeit für einen globalen Managed-Service-Provider arbeitete), nach seiner größten Erinnerung an diesen Tag fragte, sagte er, es sei das ständig klingelnde Telefon gewesen. Jeder Anrufer war ein panischer Kunde, der Hilfe brauchte. Er fasste den Tag als „absoluten Wahnsinn” zusammen.
Sehr schnell befand sich sein gesamtes Team – einschließlich anderer Sicherheitsexperten, die nicht zum Incident-Response-Team gehörten – an vorderster Front im Einsatz.
„Es war allgegenwärtig und es fühlte sich an, als ob jeder betroffen wäre. Der Durchschnittsbürger wusste, was mit Ransomware los war“, sagt Dine. „Sie verstanden die Nachrichten und was vor sich ging, und sie konnten nicht ins Krankenhaus gehen, und das hat das Leben der Menschen beeinträchtigt.“
Den ganzen Tag über sagten die Einsatzkräfte ihre Pläne ab und bereiteten sich auf ein langes, arbeitsreiches Wochenende vor. Alle Augen war auf die internationalen Unternehmen gerichtet, die als Reaktion auf den WannaCry-Vorfall wie gelähmt wirkten.
Was keiner von uns damals wusste, war, dass der Kryptowurm, der jedes System zerstörte, mit dem er in Berührung kam, tatsächlich auf eine zwei Monate alte Sicherheitslücke namens EternalBlue zurückzuführen war. Sobald es dem „Wanna Decryptor“ gelungen war, einen einzelnen Rechner in einem einzelnen Netzwerk zu infizieren, begann sich WannaCry auf andere Computer im selben Netzwerk auszubreiten, während es das Internet nach weiteren Rechnern ohne Patches durchsuchte. Die von EternalBlue ausgenutzte Schwachstelle machte nicht gepatchte Windows-Rechner anfällig für Infektionen und verbreitete den WannaCry-Virus.
Kryptowürmer lassen sich in Unternehmensnetzwerken in der Regel schnell erkennen. Doch WannaCry blieb lange Zeit unentdeckt – bis es zu spät war. Die Erkennung ist etwas, was viele hochentwickelte Bedrohungsakteure um jeden Preis zu vermeiden versuchen, insbesondere bei einem gezielten Angriff, aber WannaCry war kein gezielter Angriff. Es handelte sich um einen sorgfältig geplanten, globalen Angriff, der darauf abzielte, so viel Aufmerksamkeit wie möglich zu erregen, und genau das ist auch geschehen.
In vielen Fällen, so Scott, wurde die Verbreitung auch durch ein sogenanntes „M&M-Netzwerk“ ermöglicht. In einem solchen Fall ist die Netzwerkstruktur außen hart und innen weich. Dies war ein einladendes Umfeld für Bedrohungsakteure und Kryptowürmer. Er merkt an, dass WannaCry, sobald der Kryptowurm an der harten Bonbonschale am Edge des Netzwerks vorbeikam, viel Freiheit fand, sich in der Umgebung zu bewegen.
In den nächsten sieben Stunden richtete der „große Schleimwurm“ weltweit Chaos an, bis die Cybersicherheitsforscher Marcus Hutchins und Jamie Hankins einen Notausschalter entdeckten. Es wurden zwei weitere Notausschalter entdeckt, die die Ransomware weitgehend unschädlich machten.
Aber der langwierige Sanierungsprozess stand für 300 Organisationen weltweit erst am Anfang, und keiner von uns war sich des Ausmaßes des Schadens und des Umfangs der erforderlichen Maßnahmen bewusst. Wir befanden uns noch immer auf unbekanntem Terrain, einschließlich Scotts Team, das sich beeilt hatte, eine Lösung zu finden.
„Ich musste diese Umgebungen wieder in die Funktionen bringen“, sagt Scott. „Aber wie müssen wir die Tests durchführen, um sicherzustellen, dass ein Fix in Ordnung ist? Wie führen wir die Benutzerakzeptanz durch? Und wie bringen wir das dann in die Produktion?”
In vielen Fällen musste Scotts Team auf herkömmliche Testverfahren verzichten und das Risiko eingehen, dass in der Eile „ein paar Dinge kaputt gehen“ würden. WannaCry bot den Menschen keine wirklichen Wahlmöglichkeiten, was einer der Hauptgründe für die darauffolgende Massenzerstörung war.
Die meisten Cybersicherheitsexperten wissen, dass WannaCry kaum ein finanzieller Erfolg war, und die Daten zum Nettogewinn zeigen, dass er deutlich niedriger ausfiel als erwartet. Aus den Blockchain-Aufzeichnungen geht hervor, dass WannaCry den Angreifern zwischen Mai 2017 und Dezember 2019 insgesamt rund 386.000 US-Dollar einbrachte, wobei die Gesamtsumme mit der Bewertung von Bitcoin schwankt. Das sind gerade einmal 1,08 US-Dollar oder weniger pro infiziertem Computer.
Verglichen mit den deutlich älteren E-Mail-Viren war es, rein finanziell betrachtet, fast schon ein Schnäppchen. Symantec schätzte die finanziellen Verluste durch WannaCry im Jahr 2018 auf 4 Milliarden US-Dollar, eine Zahl, die heute wahrscheinlich höher liegt. Das Conficker-Virus verursachte im Jahr 2007 Schäden in Höhe von über 9,1 Milliarden US-Dollar und infizierte Millionen von Computern weltweit. Im Jahr 2004 verursachte MyDoom Schäden in Höhe von rund 38 Milliarden US-Dollar und betraf etwa 25 % der im Laufe des Jahres versendeten E-Mails.
Dieser Kryptowurm sollte viel Aufsehen erregen, anstatt mit einem einzigen Ziel Profit zu machen. Die hinter WannaCry stehenden Bedrohungsakteure nutzten gezielt eine ukrainische Steuerbuchhaltungssoftware – eine Software, die laut Dine von der Regierung für alle in der Ukraine tätigen Unternehmen vorgeschrieben ist. Durch die Veröffentlichung eines Software-Updates gelang es den Angreifern, einen großen Teil der nationalen Infrastruktur der Ukraine lahmzulegen.
Die überwiegende Mehrheit der Cyberkriminalität ist finanziell motiviert. Es ist selten, auf eine Ransomware zu stoßen, die darauf ausgelegt ist, massenhaftes Chaos anzurichten, ohne sich um tatsächliche Lösegelder zu sorgen.
Auf die Frage, was ihrer Meinung nach der wichtigste Teil von WannaCry war, antwortet Whitmore, dass alles daran wichtig war.
„Das war mit Sicherheit ein gewaltiger Weckruf“, sagt Whitmore. „Jedes Unternehmen, das diese globalen Konzerne sah … die über gute Sicherheitsprogramme und -protokolle verfügten, die [von dem Virus] betroffen waren, hat also sein Bewusstsein geschärft.“
„Das war mit Sicherheit ein gewaltiger Weckruf“, sagt Whitmore.
Auf die Frage, was ihrer Meinung nach der bedeutendste Teil von WannaCry sei, sagt Whitmore, dass alles bedeutsam war.
„Das war mit Sicherheit ein gewaltiger Weckruf“, sagt Whitmore. „Jedes Unternehmen, das diese globalen Konzerne sah … die über gute Sicherheitsprogramme und -protokolle verfügten, die [von dem Virus] betroffen waren, hat also sein Bewusstsein geschärft.“
„Das war mit Sicherheit ein gewaltiger Weckruf“, sagt Whitmore.
Nach WannaCry seien gezieltere Kampagnen häufiger geworden, sagt sie. Obwohl die Angriffe nicht immer gegen einen einzelnen Kunden gerichtet sind, könnten Bedrohungsakteure viele Phishing-E-Mails versenden und so Zugriff auf 10 Kunden erlangen. Sie geht davon aus, dass Bedrohungsakteure sechs bis 12 Monate damit verbringen, potenzielle Ziele sorgfältig auszukundschaften und dabei eine Erkennung innerhalb des Netzwerks zu vermeiden.
Whitmore zufolge setzen sie Ransomware schließlich dort ein, wo sie wissen oder vermuten, dass sie eine größere Chance haben, bezahlt zu werden.
WannaCry ist wahrscheinlich zumindest teilweise für den aktuellen Bedrohungsvektor und die steigende Popularität von kommerziellen Ransomware-Angriffen verantwortlich. Laut dem Data Breach Investigations Report (DBIR) 2018 waren im Jahr 2017 39 % aller Malware-Vorfälle mit Datenverlust auf Ransomware zurückzuführen. Seitdem haben sich die Angriffe weiterentwickelt und sind viel raffinierter und für die Opfer kostspieliger geworden. Kommerzielle Ransomware ist zudem oft sehr gut darin, Erkennung zu umgehen.
Viele betroffene Unternehmen verfügten über umfangreiche Daten-Backups, die jedoch nicht immer wiederherstellbar waren. In vielen Fällen waren die Backups mit dem Netzwerk verbunden und somit anfällig für eine Sperrung durch WannaCry. In anderen Fällen verfügten die Unternehmen über externe Backups, hatten diese jedoch nicht auf ihre einfache Wiederherstellung getestet.
Der Krypto-Ransomware-Vorfall vom Mai 2017 markierte einen Wendepunkt für die Geschäftswelt. WannaCry hatte zwar einen positiven Einfluss auf die Cybersicherheitskultur in Unternehmen, rückte aber gleichzeitig Ransomware massiv ins Bewusstsein globaler Bedrohungsakteure. Viele kommerzielle Ransomware-Bedrohungsakteure betreiben mittlerweile sorgfältige Recherchen zum Wert der Daten eines Opfers, falls diese verloren gehen oder an einen Konkurrenten verkauft werden.
Ein typisches Beispiel: Whitmore hat gerade in den letzten sechs Wochen einen Ransomware-Angriff auf ein Unternehmen beobachtet. „Die Angreifer forderten 25 Millionen US-Dollar Lösegeld.“ „Es handelte sich keineswegs um ein großes Unternehmen”, sagt Whitmore.
Vor WannaCry hatten die meisten Unternehmensleiter die Einstellung „das wird uns nicht passieren“, besonders außerhalb des Gesundheitsbereichs. Wenn ich heute das Thema Ransomware anspreche, hören die Leute zu. Unternehmensleiter sind oft die Ersten, die das Thema Ransomware mit mir und anderen Cybersicherheitsexperten besprechen wollen. Aus meiner Sicht war eine der bedeutendsten Folgen des Traumas und der Zerstörung durch WannaCry, dass Unternehmensführungen erkannten, dass Ransomware eine ernstzunehmende Bedrohung darstellt.
Der Vorfall hatte auch tiefgreifende Auswirkungen auf die Rolle der Cybersicherheit innerhalb von Unternehmen und die Rolle des CISO im Vorstand. Die Führungsebene erkennt nun, dass man einen größeren Cyberangriff überstehen und am Ende aus Reputationssicht sogar besser dastehen kann.
Ein Logistikunternehmen mit Sitz in der EU zeigt, dass es durch WannaCry kaum Reputationsschäden erlitten hat. Der CEO nahm eine öffentliche Rolle ein und sprach in den Tagen nach dem Angriff direkt mit der Öffentlichkeit und den Kunden. Die Kombination aus dem Kryptowurm und dem selbstbewussten, kommunikativen CEO war ein kritischer erster Schritt hin zu einer Unternehmenskultur der Cybersicherheit mit gemeinsamer Verantwortung.
Unzählige Nachahmer und Nachbeben folgten dem ersten WannaCry-Angriff. ESET gab im Mai 2020 bekannt, dass WannaCry 40,5 % aller Ransomware-Erkennungen im ersten Quartal 2020 ausmachte. Einige Länder sind nach wie vor unverhältnismäßig stark von den Nachbeben von WannaCry betroffen, da große Internetdienstanbieter die Kill-Switch-Domains blockieren. Einige dieser anhaltenden Infektionen sind auf mangelhafte Cyberhygiene zurückzuführen. Andere Infektionen bestehen auf nicht-traditionellen Endgeräten fort, die für viele Unternehmen schwer zu erkennen, geschweige denn zu verwalten sind.
Es lässt sich schwer sagen, ob Unternehmen im Jahr 2020 wesentlich besser auf einen globalen Kryptowurm-Angriff vorbereitet wären als im Jahr 2017. Die meisten Experten, mit denen ich gesprochen habe, sind sich jedoch einig, dass sich der menschliche Faktor in der Cybersicherheit dramatisch weiterentwickelt hat, was den Experten für die Reaktion auf Sicherheitsvorfälle Hoffnung geben sollte.
Laut ESET zeigten Daten der Suchmaschine Shodan, dass bis Mai 2019 fast 1 Million Geräte noch verwundbar und ungepatcht gegen die EternalBlue-Schwachstelle waren. Seit Ende Mai 2017 gab es bei dieser Zahl nur sehr wenig Abweichungen, was äußerst besorgniserregend ist.
Eine aktuelle Umfrage zeigt, dass 27 % der globalen Unternehmen eine Datenschutzverletzung auf nicht gepatchte Sicherheitslücken zurückgeführt haben. Noch besorgniserregender ist, dass ein großer Prozentsatz kaum eine Vorstellung davon hat, welche Endpunkte in ihrem Netzwerk genau Risiken darstellen. Mittlerweile geben 39 % der Unternehmen zu, dass sie weniger als einmal im Monat Schwachstellenscans durchführen. Laut CA Veracode bleiben mehr als 70 % der Schwachstellen nach 30 Tagen ungepatcht.
Die Kosten für die Wiederherstellung nach einem hochgradig zerstörerischen Angriff beliefen sich auf 239 Millionen US-Dollar und waren damit 61 Mal höher als bei einem durchschnittlichen Vorfall mit Datenverlust.
Scott erkennt große positive Veränderungen in der Art und Weise, wie Unternehmen mit Umgebungen und Kontrollpunkten umgehen, um die „harten Bonbonschalen“ zu vermeiden, durch die sich der Wurm so schnell ausbreiten konnte. Kunden denken heute eher an Containerisierung und Microservices, anstatt Angreifern die Art von weichem, klebrigem Netzwerkziel zu bieten, die im Jahr 2017 und davor üblich war. Dies könnte teilweise mit WannaCry zusammenhängen, ist aber wahrscheinlich auch darauf zurückzuführen, dass sich die Netzwerkperimeter von Unternehmen verschoben haben.
In den heutigen Netzwerken ist es nicht ungewöhnlich, dass es viele Server gibt, die keinen Zugang zu den Workstations haben. Stattdessen können Benutzer über Agenten auf Cloud-Daten zugreifen. Die Cloud bringt zwar etwas mehr Komplexität in die Sicherheitsrichtlinien und hat einige Workflows komplizierter gemacht, aber sie hat den Sicherheitsstatus in vielerlei Hinsicht auch verbessert. Cloudbasierte Isolierung bedeutet, dass Unternehmen nicht mehr in einem einzigen großen Netzwerk arbeiten.
Die Abkehr von den Bonbon-Netzwerken von gestern hat auch Auswirkungen auf die Benutzerrechte. Scott sieht dies als einen großen positiven Faktor bei der Abwehr von Advanced Persistent Threats (APTs) und privilegierten Konten. Vor allem wechseln viele Unternehmen zu vertrauensbasierten und bedarfsbasierten Zugriffsmodellen, anstatt Superuser zu benennen und Berechtigungen neu zu strukturieren.
Drei Jahre nach dem WannaCry-Wurm sind die Kosten für die Bewältigung von hochgradig zielgerichteten Ransomware-Angriffen und APTs jedoch so hoch wie nie zuvor. Das ist äußerst beunruhigend. Laut dem Data Breach Kostenreport 2019 beliefen sich die durchschnittlichen Wiederherstellungskosten nach einer Datenschutzverletzung im vergangenen Jahr auf 3,92 Millionen US-Dollar. Die Kosten für die Wiederherstellung nach einem äußerst zerstörerischen Angriff beliefen sich auf 239 Millionen US-Dollar und waren damit 61-mal höher als bei einem durchschnittlichen Vorfall mit Datenverlust.
Akteure, von denen eine Sicherheitsbedrohung ausgeht, werden immer mutiger und berechnender – und verlangen immer mehr genau den Geldbetrag, den die Daten eines Opfers ihrer Meinung nach wert sind. Kommerzielle Ransomware ist im Jahr 2020 nicht darauf ausgelegt, sich viral über Netzwerke zu verbreiten oder Hunderttausende ungepatchte Endgeräte anzugreifen. Stattdessen zielen Bedrohungsakteure auf Unternehmen ab, die voraussichtlich Lösegelder in Millionenhöhe zahlen werden.
Bedrohungsakteure konzentrieren sich auf ihre Opfer, um sicherzustellen, dass sie in alle relevanten Systeme eindringen und so eine Atmosphäre des Terrors schaffen. Oftmals gelangen sie sogar auf die Backup-Server, um ihre Opfer zur Zahlung des Lösegelds zu zwingen.
Die verstärkte Zusammenarbeit war einer der positivsten Auswirkungen der letzten drei Jahre. WannaCry könnte eine Art Katalysator für eine stärkere Zusammenarbeit zwischen Branchen, dem öffentlichen Sektor und internationalen Entscheidungsträgern gewesen sein.
Ich habe mit Mike Barcomb, Programmdirektor bei X-Force Incident Command, gesprochen, um zu erfahren, wie er die Veränderungen wahrnimmt.
„Unternehmen konzentrieren sich darauf, Programme [zur Reaktion auf Sicherheitsvorfälle] aufzubauen, aber auch mit ihren Branchenkollegen und anderen Unternehmen zusammenzuarbeiten“, sagt Barcomb. „Sie nutzen ihre Energie, um Best Practices und Informationen über Bedrohungsakteure auszutauschen – Dinge, die sie gesehen und erlebt haben.“
„Sie bauen Energie auf, wo sie Best Practices und Informationen über Bedrohungsakteure teilen können – Dinge, die sie gesehen und erlebt haben.“
„Es ist sehr ermutigend zu sehen, dass Unternehmen zusammenarbeiten, um Abwehrmaßnahmen gegen Bedrohungen aufzubauen.“
Das menschliche Element der Vorbereitung ist genauso wichtig wie die technologische Einsatzbereitschaft, um eine ordnungsgemäße Cyberhygiene sicherzustellen, sagt Kurt Rohrbacher, Leiter der nordamerikanischen Abteilung für IBM X-Force Threat Intelligence. Die beste Möglichkeit für ein Unternehmen, sich auf einen globalen Zwischenfall vorzubereiten, besteht darin, darüber nachzudenken, was passiert, wenn die Kontrollmechanismen versagen, und die Tragweite jeder Entscheidung abzuwägen.
„Die Menschen denken oft nicht darüber nach, dass die ersten Stunden eines Vorfalls oft darüber entscheiden, ob man sich einen Tag, eine Woche, einen Monat oder in manchen Fällen sogar ein Jahr lang damit befassen muss“, sagt Rohrbacher. „Die frühzeitige Festlegung der Maßnahmen, die Sie im Falle eines Vorfalls ergreifen werden, entscheidet über den Erfolg oder Misserfolg Ihrer endgültigen Reaktion.“
„Das frühzeitige Festlegen von zu ergreifenden Maßnahmen bei einem Vorfall entscheidet über den Erfolg oder Misserfolg Ihrer endgültigen Reaktion.“
Diese Aussage hat mich sehr beeindruckt, denn wir unterschätzen oft die Auswirkungen von Stress und Panik auf unsere Entscheidungsfindung. Diese scheinbar kleinen Entscheidungen können den Unterschied zwischen Millionen von Dollar und Jahren oder Monaten der Erholung ausmachen.
Scott sagte mir, dass es ihm Hoffnung gibt, den Beginn eines Wandels bei Key Performance Indicators (KPIs) zu sehen, ein Bereich, der ihm besonders am Herzen liegt. Er fragt sein Team oft: „Wie können wir den Überblick behalten und die Leute wirklich dazu motivieren, die Arbeit richtig zu machen?“
Im Fall von SOC-Analysten können Metriken, die sich auf die Geschwindigkeit der Problemlösung und Zeitrahmen konzentrieren, kontraproduktiv sein. SOC-Analysten können abgelenkt werden, wenn sie in einer Umgebung arbeiten, die zu sehr auf Effizienz ausgerichtet ist. Sie könnten Tickets vor Abschluss einer Untersuchung schließen und dabei den Gesamtzusammenhang aus den Augen verlieren – beispielsweise den Eindringpunkt eines Angriffs.
Die Cybersicherheits- und Patch-Gewohnheiten der Branche haben sich seit Mai 2017 vielleicht nicht messbar verbessert, aber die meisten Experten sind sich einig, dass wir heute besser vorbereitet sind als zuvor, selbst außerhalb von Unternehmen, die bereits mit Ransomware-Angriffen konfrontiert waren. Es geht um eine Veränderung der menschlichen Komponente der Cybersicherheit.
Rohrbacher lacht, als ich ihn frage, wie Unternehmen und Cybersicherheitsfachleute sich auf das Unerwartete vorbereiten können. Er zuckt mit den Schultern und sagt: „Nun, es gibt nichts Vergleichbares.“
Er berichtet außerdem, dass ein echter Vorfall wie WannaCry sowohl das Bewusstsein als auch die Bereitschaft erhöht. Darüber hinaus stimmen fast alle Experten, mit denen ich gesprochen habe, darin überein, dass Simulationen von entscheidender Bedeutung sind, ebenso wie Quartalsübungen und regelmäßige Tests der Kommunikationsmittel, um das Muskelgedächtnis aufzubauen.
Er verwies auf Phishing-Simulationen und Cyber-Reichweite-Aktivitäten als zwei Möglichkeiten, wie sich Unternehmen auf unvorhergesehene Ereignisse vorbereiten könnten. Rohrbacher sagt, wenn eine Übung oder ein Drill die Menschen wirklich in die Situation einbezieht und sie dazu anregt, Spaß zu haben, ist es wahrscheinlicher, dass sie ihre eigenen Erkenntnisse darüber gewinnen, wie sie besser reagieren können.
Mich erstaunt immer wieder die Ähnlichkeit zwischen der aktuellen COVID-19-Pandemie und dem WannaCry-Angriff. Die ersten Stunden des Angriffs fühlten sich sehr ähnlich an wie im März 2020, als alle in den Krisenmodus wechselten und versuchten, eine noch nie dagewesene Situation zu bewältigen. Jetzt, wo die Pandemie immer weiter voranschreitet, ist das Gefühl ähnlich, als würden wir auch heute noch WannaCry-Infektionen finden. Die Pandemie betrifft wahrscheinlich die meisten von uns auf einer persönlicheren Ebene. Doch beide Krisen beeinflussten unseren Alltag auf eine Weise, die sich niemand hätte vorstellen oder vorhersehen können.
Die wichtigsten Lehren aus beiden Vorfällen beziehen sich auf die Vorbereitung. Sowohl WannaCry als auch die Pandemie haben alle überrascht. Das wirft die uralte Frage auf, wie man sich auf etwas vorbereitet, das noch nie auch nur annähernd passiert ist.
Die meisten Menschen denken beim Thema Vorbereitung an strategische Pläne, Simulationen, Bildung und den Einsatz von Tools wie Backup für die Wiederherstellung. Diese Maßnahmen reichen jedoch nur bedingt aus, wenn ein neuartiger Angriff erfolgt und kein Plan für das genaue Vorgehen existiert. Ich denke, es geht letztendlich darum, eine neue Sichtweise und Herangehensweise einzunehmen.
„Wenn man mitten in einer Krise steckt, verliert man alles außer dem Muskelgedächtnis.“
Etwas, das Rohrbacher sagt, kommt mir immer wieder in den Sinn: „Wenn man mitten in einer Krise steckt, verliert man alles außer dem Muskelgedächtnis.“
Natürlich müssen wir in der Lage sein, Technologien bereitzustellen, Pläne zu erstellen und Wiederherstellungsoptionen zu sichern. Wir müssen uns aber auch darauf konzentrieren, bei jedem Mitarbeiter im Bereich Vorfallsreaktion Vertrauen und Muskelgedächtnis aufzubauen.
Selbstvertrauen entsteht nicht in einer einzigen Trainingseinheit oder einem Kästchen, das Sie an einem Donnerstagnachmittag abhaken. Es ist ein grundlegender Wandel in Kultur und Prozessen. Letztendlich geht es bei Vorsorge darum, Einzelpersonen zu befähigen, sich selbstsicher genug zu fühlen, um die Verantwortung zu übernehmen. Sie möchten, dass Ihr Team tief durchatmet und sagt: „Okay, ich kümmere mich darum“, selbst wenn etwas Unerwartetes passiert.
Jasmine Henry hat zur Berichterstattung über diese Geschichte beigetragen.