_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

WannaCry und Ransomware-Abwehr -- Was wir gelernt haben

15. 06. 2017 5 Min. Lesezeit CORE SYSTEMSai
WannaCry und Ransomware-Abwehr -- Was wir gelernt haben

Am 12. Mai 2017 verbreitete sich WannaCry in mehr als 150 Länder und traf über 200.000 Computer. Das britische NHS-Gesundheitssystem war paralysiert, Renault-Produktionslinien standen still. Wir hatten Glück – aber Glück ist keine Strategie. Hier ist, was wir getan haben, um beim nächsten Mal nicht auf Zufall zu setzen.

Wie WannaCry funktionierte

WannaCry war keine ausgeklügelte Malware. Sie war effektiv durch die Kombination zweier Dinge: des EternalBlue-Exploits (eine Schwachstelle im Windows SMBv1-Protokoll, MS17-010) und eines Wurm-Mechanismus, der eine automatische Netzwerkverbreitung ohne jegliche Benutzerinteraktion ermöglichte.

EternalBlue wurde ursprünglich von der NSA entwickelt und im April 2017 von der Shadow-Brokers-Gruppe geleakt. Microsoft veröffentlichte einen Patch (MS17-010) bereits im März – einen Monat vor dem Leak und zwei Monate vor dem Angriff. Dennoch blieben Hunderttausende von Systemen ungepatcht.

Der Infektionsprozess war brutal einfach: WannaCry scannte das Netzwerk auf Port 445 (SMB), nutzte die Schwachstelle aus, verschlüsselte Dateien mit AES-128 und RSA-2048 und zeigte eine Lösegeldforderung von 300 USD in Bitcoin an. Nach drei Tagen verdoppelte sich das Lösegeld.

Warum es uns (fast) nicht betroffen hat

Wir hatten zwei Vorteile: Die meisten unserer Server laufen auf Linux, und die internen Windows-Workstations hatten aktuelle Patches. Aber “fast” ist das Schlüsselwort. Ein Testserver mit Windows Server 2008 R2 in einem isolierten VLAN hatte den Patch nicht. Glücklicherweise war er wirklich isoliert – die Netzwerksegmentierung funktionierte genau wie vorgesehen.

Dieser Vorfall zwang uns jedoch, unseren gesamten Sicherheitsansatz zu überdenken. Wir verließen uns darauf, dass “unsere Admins rechtzeitig patchen.” Das ist kein System, das ist Hoffnung.

Patch-Management – Die Grundlage, die Unternehmen ignorieren

Die Statistiken sind alarmierend: Die durchschnittliche Zeit zwischen der Veröffentlichung eines kritischen Patches und seiner Anwendung in Enterprise-Umgebungen beträgt 100-120 Tage. WannaCry zeigte, dass Angreifer diese Lücke aktiv ausnutzen.

Was wir umgesetzt haben:

  • Automatisches Patching für Workstations – WSUS mit automatischer Genehmigung von kritischen und Sicherheitsupdates. Kein Warten auf manuelle Prüfung.
  • Patch-Fenster für Server – jeden Mittwochnacht automatisches Deployment genehmigter Patches auf Staging, nach Validierung am Freitag auf Produktion. Maximum 7 Tage ab Veröffentlichung.
  • Vulnerability Scanning – Nessus scannt das gesamte Netzwerk einmal pro Woche. Ergebnisse gehen direkt ins Ticket-System. Kritische Schwachstellen haben ein 48-Stunden-SLA.
  • Inventar – wir wissen, was im Netzwerk läuft. Keine “vergessenen” Testserver. Asset Management in der CMDB, regelmäßige Audits.

Netzwerksegmentierung – Erste Verteidigungslinie

WannaCry verbreitete sich im Netzwerk wie ein Lauffeuer. Flaches Netzwerk = totale Verwüstung. Segmentiertes Netzwerk = begrenzter Schaden. Unser Testserver mit Windows 2008 überlebte genau dank der Segmentierung.

Grundprinzipien, die wir befolgen:

  • VLANs nach Funktion: Server, Workstations, Management, DMZ, IoT – jedes Segment in einem separaten VLAN.
  • Firewall zwischen Segmenten: Eine Workstation braucht keinen SMB-Zugriff auf eine andere Workstation. Wir erlauben nur, was explizit benötigt wird.
  • Mikrosegmentierung: Bei kritischen Systemen (Datenbanken, Backup-Server) gehen wir noch granularer vor. Zugriff nur von definierten IP-Adressen auf definierte Ports.
  • SMB-Blockierung: Port 445 ist am Perimeter und zwischen Segmenten blockiert, wo er nicht benötigt wird. Intern erlauben wir SMBv3 mit Verschlüsselung.

Backup-Strategie – Letzter Ausweg

Wenn Ransomware alle Verteidigungsschichten durchdringt, sind Backups die einzige Hoffnung. Aber Vorsicht – WannaCry und seine Nachfolger suchen aktiv nach Backups und verschlüsseln sie ebenfalls. Schattenkopien? Gelöscht. Netzlaufwerke? Verschlüsselt. NAS über SMB verbunden? Verschlüsselt.

Die 3-2-1-Regel ist das Minimum:

  • 3 Kopien der Daten (Original + 2 Backups)
  • 2 verschiedene Medien (Festplatte + Band / Cloud)
  • 1 Offline-/Offsite-Kopie (nicht mit dem Netzwerk verbunden)

Wir haben eine vierte Regel hinzugefügt: Testen Sie regelmäßig die Wiederherstellung. Ein Backup, aus dem Sie keine Daten wiederherstellen können, ist wertlos. Jeden Monat machen wir einen Restore-Test eines zufällig ausgewählten Systems. Wir messen die RTO (Recovery Time Objective) und vergleichen mit dem SLA.

# WannaCry und Ransomware-Abwehr -- Was wir gelernt haben
0 3 1 * * /opt/scripts/backup-restore-test.sh   --random-system   --verify-checksums   --report-to [email protected]

Endpoint-Schutz – Antivirus reicht nicht

Traditioneller signaturbasierter Antivirus erkannte WannaCry erst nach mehreren Stunden – bis dahin war keine Signatur verfügbar. Deshalb wechseln wir zu EDR (Endpoint Detection and Response)-Lösungen, die verdächtiges Verhalten unabhängig von Signaturen erkennen.

Was EDR kann, was Antivirus nicht kann:

  • Erkennung von Massenverschlüsselung von Dateien (Verhaltensanalyse)
  • Blockierung der Kommunikation mit C2-Servern
  • Echtzeit-Isolation des infizierten Endpoints vom Netzwerk
  • Forensische Daten für die Post-Incident-Analyse

Wir haben CrowdStrike Falcon auf allen Endpoints deployt. Es ist nicht günstig, aber ein Ransomware-Vorfall kostet um Größenordnungen mehr – die durchschnittlichen Breach-Kosten 2017 betragen laut Ponemon Institute 3,62 Millionen USD.

Incident-Response-Plan

Vor WannaCry hatten wir einen “Plan” – drei Absätze im internen Wiki, die niemand las. Jetzt haben wir ein echtes Runbook:

  1. Erkennung: Alert von EDR, SIEM oder Benutzermeldung. Eskalation innerhalb von 15 Minuten.
  2. Eindämmung: Isolation des betroffenen Segments. Das Netzwerkteam hat die Befugnis, ein VLAN ohne Management-Genehmigung zu trennen.
  3. Analyse: Identifikation des Angriffsvektors, Umfang der Kompromittierung, Malware-Typ.
  4. Beseitigung: Malware-Entfernung, Schwachstellen-Patching, Reset kompromittierter Zugangsdaten.
  5. Wiederherstellung: Restore aus Backups, Datenintegritätsprüfung, schrittweise Service-Aktivierung.
  6. Lessons Learned: Post-Mortem innerhalb von 5 Werktagen. Was hat versagt, was hat funktioniert, was ändern wir.

Kernpunkt: Zahlen Sie kein Lösegeld. Es gibt keine Garantie, dass Sie den Schlüssel bekommen. Sie finanzieren kriminelle Aktivitäten. Und Sie werden als “ein Unternehmen, das zahlt” bekannt – und werden erneut zum Ziel.

Menschlicher Faktor

WannaCry verbreitete sich automatisch, aber die meiste Ransomware kommt über Phishing. Ein Mitarbeiter öffnet einen Anhang, klickt auf einen Link, und das war’s. Deshalb führen wir regelmäßige Phishing-Simulationen durch – einmal pro Quartal senden wir eine Test-Phishing-E-Mail und messen, wie viele Leute klicken.

Nach dem ersten Test klickten 34 % der Mitarbeiter. Nach einem Jahr Schulung und regelmäßigen Simulationen sind wir bei 8 %. Das Ziel ist unter 5 %. Security Awareness ist keine einmalige Schulung – es ist ein kontinuierlicher Prozess.

Ransomware ist keine Frage des “Ob”, sondern des “Wann”

WannaCry war ein Weckruf. Für uns und für die gesamte Branche. Patchen, segmentieren, sichern, Wiederherstellung testen, Mitarbeiter schulen. Nichts davon ist neu oder überraschend. Aber WannaCry hat gezeigt, dass die meisten Unternehmen es nicht tun. Seien Sie nicht die Mehrheit.

securityransomwarewannacryincident response
Teilen:

CORE SYSTEMS

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

Grundlagen der forensischen Analyse

Digitale forensische Analyse durchführen. Beweissicherung, Memory Dump, Disk Image.

Incident-Response-Plan — Reaktion auf Sicherheitsvorfälle

Vorgehen bei Sicherheitsvorfällen. Vorbereitung, Erkennung, Eindämmung, Wiederherstellung.

Integration von Java-Anwendungen mit Active Directory

Benutzerauthentifizierung und -autorisierung in Java EE über LDAP/Active Directory. JNDI, Spring Security.