Doch immer wieder bestätigen Zahlen, dass die erfolgreichen Angriffe auf Netzwerke, wie Anfang 2016 auf das Lukaskrankenhaus in Neuss, sich häufen und die absolute Zahl der Attacken exponentiell steigt. Ransomware-as-a-Service lässt die Zahl der möglichen Angreifer weiter in die Höhe schnellen, denn es ermöglicht auch Laien einfach, eine fertige Ransomware für einen geringen Betrag zu kaufen und dann selber auf die Suche nach dem nächsten, vermeintlich geschützten Opfer zu gehen. Darüber hinaus scheint es, als flössen die Einnahmen der Erpressungen aus 2016 in die Weiterentwicklung neuer Angriffe, sodass diese die aufgebauten, vermeintlichen Schutzmechanismen wieder überwinden können.
WannaCry – das nächste Kapitel Ransomware
Die am 12. Mai 2017 bekannt gewordene Angriffswelle in momentan über 70 Ländern führt diese gerade neu gewonnene, gefühlte Sicherheit erneut ad-absurdum. Sie zeigt, dass die so genannten Innovationen in der Erkennung durch Anti-Virus Lösungen kein probates Gegenmittel für diese weiterhin wachsende Bedrohung schaffen.
Updates zum Schließen der bekannten Sicherheitslücken, werden von vielen Betreibern kritischer Infrastruktur aus Sorge vor möglichen Inkompatibilitäten zu wichtigen Betriebsprozessen nicht immer sofort umgesetzt. Die Sicherheitslücken bleiben daher oft über einen langen Zeitraum offen und ermöglichen Angreifern damit relativ leicht das Eindringen in die Netze.
Es verbleibt nur noch der Virenscanner als letzte Instanz zum Schutz des Netzwerkes. Und dies, obwohl inzwischen allgemein bekannt ist, dass Virenscanner nur Schutz vor bereits bekannter Schadsoftware bieten können. Denn die Hersteller von Virenscannern müssen auf den neuen Angriff reagieren und ihren Produkten die Erkennung der neue Schadsoftware beibringen. Das braucht Zeit, manchmal Tage. Und so ist der Befall von tausenden Netzwerken am Ende eine absehbare, logische Konsequenz, die wir Anfang 2016 mit Locky sehen konnten, Mai 2017 mit WannaCry und die wir - so lange die Welt sich auf Virenscanner verlässt - auch in Zukunft sehen werden.
Marketingversprechen und zu langsame Veränderungen in der IT
Gibt es einen Plan B in den betroffenen Unternehmen? Scheinbar nicht, denn erneut haben Marketingabteilungen der Virenscanner-Hersteller Versprechungen gemacht, die ein Alternativ-Szenario im Falle eines Falles für die Verantwortlichen überflüssig zu machen scheinen. Wenige Unternehmen zeigen sich momentan vorbereitet und sind gezwungen zu reagieren, statt zu agieren. Dabei werden moderne und zuverlässige Maßnahmen zum Schutz von Netzwerken seit Beginn des Jahrtausends entwickelt und sind auf dem Markt verfügbar.
Application Whitelisting Lösungen, wie zum Beispiel der Microsoft AppLocker, der als Bordwerkzeug allen Administratoren zur Verfügung steht, oder Lösungen professioneller Hersteller, wie die Firma SecuLution sie seit 16 Jahren anbietet, schützen in solchen Szenarien effektiv und zuverlässig. Unbekannte Software, egal welcher Art, kann in derart geschützten Netzwerken schlicht und ergreifend nicht ausgeführt werden. Es ist nicht nötig schadhaften Code zu erkennen, es reicht, ihn nicht zu kennen.
Die IT-Security-Welt scheint sich trotz aller Hinweise und Warnungen nur sehr langsam zu verändern. So verlässt sich die überwiegende Anzahl der Administratoren immer noch auf die “alten” Schutzlösungen. Immer neue Buzzwords hübschen dabei einen veralteten Mechanismus auf, um Sicherheit zu versprechen. Aber über Nacht wurden wir erneut eines Besseren belehrt, leider wieder zum Nachteil hundertausender Patienten, Reisender und Arbeitnehmer, die die Folgen dieser Attacken immer häufiger direkt zu spüren bekommen. Sei es, weil Unternehmen auf Grund von finanziellen Verlusten schließen müssen oder weil komplette Betriebe wie Krankenhäuser von einem Moment zum nächsten in die Handlungsunfähigkeit versetzt werden.
Application Whitelisting hilft und ist erwiesenermaßen effektiver und sicherer als bisher eingesetzte Maßnahmen.