Neues Denken und Handeln in der IT-Sicherheit

Anomalieerkennung hätte WannaCry frühzeitig stoppen können

| Autor / Redakteur: Dr. Frank Stummer / Redaktion IoT

Wie hätte WannaCry vorzeitig gestoppt werden können?
Wie hätte WannaCry vorzeitig gestoppt werden können? (Quelle: Pixabay)

Wenn wir etwas aus der Cyberattacke gelernt haben, dann, dass weder den gängigen IT-Sicherheitslösungen noch den Herstellern von Netzwerkkomponenten und Betriebssoftware vertraut werden kann. Anomalieerkennung gilt als eine zentrale Sicherheitsstrategie für das industrielle Internet der Dinge und die Industrie 4.0.

Am 12. Mai diesen Jahres stand die IT- und IoT-Branche Kopf. Über 300.000 mit der RansomWare WannaCry infizierte Rechner legten teilweise ganze Unternehmen lahm. Von der Deutschen Bahn über Regierungsbehörden bis zu Krankenhäusern und Automobilherstellern waren sowohl Unternehmen der automatisierten Industrie als auch Kritische Infrastrukturen vom größten IT-Angriff weltweit betroffen. Wenn wir etwas aus diesem Vorfall gelernt haben, dann, dass weder den gängigen IT-Sicherheitslösungen noch den Herstellern von Netzwerkkomponenten und Betriebssoftware vertraut werden kann.

Die Sicherheit von Netzwerken und Steuernetzen ist ein Katz- und Mausspiel, bei dem zwar die Maus bislang am Ende gefangen wird, aber vorher stets irreparablen Schaden in der Speisekammer anrichtet.
Die Hacker und Malware-Programmierer finden immer neue Schlupflöcher. Und Softwarehersteller und Sicherheitsdienstleister können diese erst im Nachhinein stopfen. Das zeigt sich perfekt am Beispiel der WannaCry-Attacke. Microsoft war die Sicherheitslücke in ihrem eigenen Betriebssystem jahrelange unbekannt. Und die großen IT-Sicherheitsdienstleister konnten erst eine Lösung präsentieren, als der Spuk vorbei war. Letztlich war es der 22-jährige, autodidaktische IT-Nerd Marcus Hutchins, der mit der zufälligen Entdeckung des Killswitch die WannaCry-Attacke zumindest vorübergehend eindämmen konnte.

Gängige Sicherheitslösungen sind auf einem Auge blind

Am Verlauf von WannaCry zeigt sich zum einen das menschliche Versagen aufgrund der Ignoranz eines eigentlich zeitgerecht verfügbaren Patchs zum Schließen einer Microsoft-Sicherheitslücke. Zum anderen offenbart er das grundlegende Problem gängiger IT-Sicherheitslösungen: Unternehmen hängen am Wissenstropf der Firewall-, Virenscanner- und IDS-Anbieter. Die Anbieter definieren, was aktuell eine Gefahr für Netzwerke darstellt. Was nicht bekannt ist, wird auch nicht gefiltert oder geblockt.

Gegen drei mittlerweile immer präsenter werdende Gefahrenprofile sind sie dadurch in der Regel machtlos:

  1. Aggressive, schnell operierende Malware wie WannaCry.
  2. Langsame, schleichend operierende Malware wie z. B. Stuxnet und Duqu
  3. Spezifisch auf einzelne Branchen oder gar Unternehmen zugeschnittene Angriffsmuster.

WannaCry ging zudem andere Wege, als bisherige Malware. Die Malware wurde zum einen über SpearPhishing-Emails auf den Rechnern installiert. Zum anderen zeigte sie Eigenschaften eines Wurmvirus und breitete sich selbstständig über die SMB-Kommunikation, die u.a. für Datei- und Druckerfreigaben genutzt wird, aus. Dadurch konnte WannaCry Netzwerkgrenzen überwinden und z. B. auch vom Office-Netzwerk aus das Steuernetz und die Leitstelle infizieren.

Die grundlegende Methodik klassischer Sicherheitslösungen, ausschließlich bekannte Gefahren zu bannen, ist gleichzeitig die grundlegende Achillesferse dieser Lösungen. Sie erkennen weder unbekannte Gefahren, noch haben sie in jedem Fall ausreichend Einblick in die eigentliche Codestruktur der Schadprogramme. Selbst Sandboxing-Ansätze sind hier nur bedingt zielführend, da sie viel Zeit benötigen.

Industrieunternehmen müssen sich deshalb von der Sicherheitsillusion verabschieden, die diese Methodiken des Blacklistings aber durchaus auch des Whitelistings versprechen. Die Angriffsvektoren der Cyberkriminellen werden spezifischer und ausgeklügelter. Zudem wird das Katz- und Mausspiel immer rasanter. Bereits wenige Stunden, nachdem der Killswitch in WannaCry entdeckt wurde, tauchten Modifikationen mit differierenden Killswitch-URLs auf, bis letztlich mit Uiwix eine komplett Killswitch-freie Version in Umlauf gebracht wurde. Man geht auch davon aus, dass einige Versionen nicht von den WannaCry-Autoren sondern von Copycat-Hackern programmiert wurde. Die Dynamik hat sich mit WannaCry somit deutlich erhöht.

Es gilt, mit Anomalieerkennung das Unbekannte zu jagen

Kritische Infrastrukturen und Industrieunternehmen benötigen deshalb eine Lösung, die das Steuernetz kontinuierlich auf Anomalien überwacht, anstelle ausschließlich nach bereits bekannten Bedrohungsmustern Ausschau zu halten.
Als Anomalie gilt dabei alles, was eine Abweichung von der Standardkommunikation im Steuernetz darstellt. Gerade in Steuernetzen und der Steuertechnik ist die Kommunikation sehr standardisiert und repetitiv, so dass Abweichungen durch Hackings, Fehlkonfigurationen, Maschinenstörungen und insbesondere Malware-Angriffe bei einem 24/7-Monitoring sofort sichtbar gemacht werden können.

Das Bundesministerium für Sicherheit in der Informationstechnologie (BSI) bezeichnete deshalb auf der diesjährigen Hannover Messe die selbstlernende Anomalieerkennung als eine zentrale Sicherheitsstrategie für das industrielle Internet der Dinge und die Industrie 4.0.

Mit diesem Ansatz hätte auch der Angriff durch WannaCry frühzeitig erkannt werden können. Er wäre sofort als abweichende Kommunikationsstruktur im Netzwerk gemeldet worden, so dass Gegenmaßnahmen frühzeitig hätten eingeleitet werden können. In Verbindung mit der Deep-Packet-Inspection-Technologie hätte zudem umgehend eine detaillierte Analyse der Befehlsstrukturen und Angriffsvektoren von WannaCry durchgeführt werden können.

Die Überwachung von Steuernetzen muss lückenlos, selbstlernend und unabhängig vom Wissen über die bekannten Bedrohungen erfolgen. Das heißt, wirklich jede verdächtige Aktion im Steuernetz muss gemeldet werden – ganz unabhängig davon, ob diese bereits als Gefahr gelistet ist oder nicht.

Alles andere wird in Zukunft unzureichend sein. Und WannaCry hat soeben diese Zukunft eingeläutet.

 

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 0 / Security)