Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Petya : Erneut weltweite Cyber-Sicherheitsvorfälle durch Ransomware

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet aktuell eine globale Cyber-Angriffswelle mit einer Verschlüsselungssoftware (Ransomware). Die Angriffswelle weist bezüglich Verbreitungsgrad und -geschwindigkeit Ähnlichkeiten zum Cyber-Sicherheitsvorfall "WannaCry" im Mai dieses Jahres auf. Betroffen sind weltweit Unternehmen und Institutionen, nach BSI-Erkenntnissen sind auch deutsche Unternehmen betroffen. Das BSI ruft Unternehmen und Institutionen in Deutschland auf, IT-Sicherheitsvorfälle beim BSI zu melden.
Betroffene Unternehmen sollten nicht auf Lösegeldforderungen eingehen. Das BSI nimmt derzeit technische Analysen vor und prüft den Sachverhalt, auch im Austausch mit nationalen und internationalen Partnern. Auch im Nationalen Cyber-Abwehrzentrum (Cyber-AZ) wird eine Bewertung der bislang bekannten Fakten vorgenommen. Das Cyber-AZ steht im ständigen Austausch mit den beteiligten Behörden.

BSI-Präsident Arne Schönbohm: „Nach ersten Erkenntnissen des BSI handelt es sich um eine Angriffswelle mit der Schadsoftware Petya, die unter anderem die gleiche Schwachstelle ausnutzt, die sich auch die Ransomware WannaCry zu Nutzen gemacht hatte. Das Patchen dieser Schwachstelle mit dem seit Monaten verfügbaren Microsoft-Patch hätte in vielen Fällen eine Infektion verhindert. In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind. Angesichts der akuten Bedrohungslage rufen wir die Wirtschaft erneut dazu auf, die Risiken der Digitalisierung ernst zu nehmen und notwendige Investitionen in die IT-Sicherheit nicht aufzuschieben.“

Über die etablierten Kanäle von CERT-Bund, UP KRITIS und Allianz für Cyber-Sicherheit stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.
 
++++++++++       UPDATE – 28.06.2017    ++++++++++
 
Die aktuelle Welle von Cyber-Angriffen, die seit dem 27.06. weltweit die IT-Systeme zahlreicher Unternehmen und Institutionen gestört hat, hält weiter an. In Einzelfällen hat der Angriff massive Auswirkungen auf die Produktion und kritische Geschäftsprozesse von betroffenen Unternehmen. Auch in Deutschland sind Unternehmen von der Cyber-Attacke betroffen. Als nationale Cyber-Sicherheitsbehörde steht das BSI mit Betroffenen in Kontakt. Aus Gründen der Vertraulichkeit macht das BSI zu Betroffenen keine weiteren Angaben.
 
Ursprung und Schwerpunkt der Cyber-Attacke liegen offenbar in der Ukraine, allerdings hat sie weltweite Auswirkungen. Meldungen zufolge ist die Schadsoftware über die Update-Funktion einer in der Ukraine weit verbreiteten Buchhaltungssoftware namens MeDoc verteilt worden. Das BSI hält diese These nach einer ersten Einschätzung für plausibel. Dabei zeigt sich, dass die Schadsoftware Funktionen enthält, um sich unter Ausnutzung verschiedener Schwachstellen innerhalb eines Netzwerkes rasant weiterverbreiten zu können.
 
In einer zweiten offiziellen Stellungnahme erklärt BSI-Präsident Arne Schönbohm nun:
 
"Die aktuelle Cyber-Angriffswelle zeigt zum wiederholten Male deutlich, wie anfällig auch kritische Geschäftsprozesse in Unternehmen und Institutionen in einer digitalisierten Welt sein können. Man wird die Kompromittierung eines einzelnen Computers nicht immer verhindern können, aber sie darf nicht zum Ausfall eines ganzen Netzwerks führen! Angesichts der akuten Bedrohungslage rufen wir erneut dazu auf, Informationssicherheit zur Chefsache zu machen. Cyber-Sicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung."
 
Das BSI gibt folgende Empfehlungen zum Schutz vor der aktuellen Cyber-Angriffswelle:

  •     De-Aktivierung der Auto-Update-Funktion der Software MeDoc oder Sperrung der 
        Domain upd.me-doc.com.ua (92.60.184.55)
  •     Aufgrund der Ausnutzung der gängigen Administratorenwerkzeuge psexec und
        wmic sollten die Administratorenrechte überprüft werden:


a)      Lokale Administratoren sollten sich nicht über das interne Netz einloggen können
b)      Lokale Administratoren dürfen auf unterschiedlichen Rechnern nicht das gleiche
         Passwort haben.
c)      Idealerweise sollte der lokale Administrator deaktiviert sein
 

  •     Netzwerke müssen segmentiert werden
  •     Einspielen des Microsoft-Patches MS17-010
  •     Aktualisierung der eingesetzten Antiviren-Programme
  •     Mit bereits bestehenden Backups können Daten ersetzt werden