Anlässlich einer jüngst entdeckten Sicherheitslücke hat Microsoft reagiert und zur Abwehr der Gefahr ein Update veröffentlicht. Kunden wird dringend geraten sich durch die Installation des Updates zu schützen, denn ungeschützte Systeme sind einer akuten Gefahr von Schadsoftware ausgesetzt. Experten warnen vor der Gefahr einer neuen Virenpandemie.
Aktuelle Gefährdung in Remote Desktop Services
Die entdeckte Sicherheitslücke CVE-2019-0708 genannt „BlueKeep“ betrifft das Remote Desktop Protocol (RDP). Remote Desktop Technologie ermöglicht über ein Netzwerk den Fernzugriff auf ein anderes Endgerät. Die Sicherheitslücke kann durch das Senden spezieller Anforderungen an Remotedesktopdienste der Zielsysteme missbraucht werden. Ein nicht-authentifizierter Angreifer, der die bestehende Sicherheitslücke erfolgreich ausnützt, könnte dann ohne Benutzerinteraktion unter anderem Programme installieren und Daten anzeigen, ändern oder löschen. Das Update behebt die Sicherheitslücke, in dem die Art wie Remotedesktopsysteme Verbindungsanforderungen verarbeiten, korrigiert wird.
Attraktiv für Hacker ist die Sicherheitslücke deshalb, da ein Wurm der ein verwundbares System ergriffen hat, sich automatisch auf andere PCs verbreiten kann. Damit können auch Rechner, die nicht direkt über das Internet erreichbar sind, infiziert werden. Besonders Unternehmen, die sensible Systeme durch eine vermeintliche Abkoppelung vom Rest des Netzwerks schützen wollen, könnten so doch empfindlich getroffen werden. Auch wenn Microsoft noch keine konkrete Bedrohung ausgemacht hat, ist sich das Unternehmen sicher, dass bereits ein entsprechendes Exploit existiert.
Die gute Nachricht ist, dass von der Sicherheitslücke vor allem ältere Windows Systeme, wie Windows XP, Windows Vista, Windows 7, Windows Server 2003 und Windows Server 2008 betroffen sein sollen. Auch musste die Zahl gefährdeter Systeme von zunächst 7,6 Millionen auf nun ca. 1 Millionen verwundbarer PCs korrigiert werden.
Wie ernst die Gefahr dennoch unter Experten genommen wird lässt sich daran erkennen, dass inzwischen auch die NSA zur Installation des Updates aufgerufen hat.
Es droht eine Virenpandemie
Dass die Gefahr, die von ungeschlossenen Sicherheitslücken ausgeht, ernst zu nehmen ist, zeigen verschiedene Vorfälle der vorangegangenen Jahre. Besonders von sogenannter Ransomware geht eine nicht zu unterschätzende Gefahr aus: Gemeint sind Fälle in denen Schadprogramme Dateien verschlüsseln und der Nutzer, wenn er wieder Zugang zu seinen Dateien erhalten oder gar einen vollständigen Verlust verhindern möchte, zur Zahlung von Geld gezwungen wird. 2017 rückte Ransomware, durch die großflächigen Angriffe mit dem sog. WannaCry-Wurm und den Erpressungstrojaner Petya, in das Interesse der Öffentlichkeit. Der damals entstandene Schaden war erheblich: Hundertausende Nutzer waren von den Angriffen betroffen, in Deutschland unter anderem die Deutsche Bahn und ihre Logistiktochter Schenker. Allein der WannaCry Angriff soll weltweit für einen Schaden von 4 Milliarden US-Dollar gesorgt haben. Ein Rückgriff auf die Verantwortlichen ist nahezu ausgeschlossen, denn die Täter befinden sich regelmäßig im Ausland. Die Vereinigten Staaten vermuten hinter den Angriffen von 2017 gar Nordkorea und Russland. Weitere Angriffe sind nicht ausgeschlossen. Vielmehr finden fortlaufend einzelne Angriffe statt, die aber selten in der Öffentlichkeit wahrgenommen werden.
Angesichts dieser Bedrohungslage ist es allgemein ratsam präventiv tätig zu werden.
Maßnahmen für einen wirksamen Schutz
Neben dem Schutz durch die Installation des Updates werden weitere Sicherheitsmaßnahmen empfohlen. Werden remote Desktop Services nicht genutzt kann eine Deaktivierung bereits Schutz bieten. Dieser Hinweis lässt sich auch auf andere ungenutzte Funktionen übertragen. Ausgeschaltete Funktionen verringern das Sicherheitsrisiko im Allgemeinen, da über sie ein System nicht angegriffen werden kann. Darüber hinaus wird im vorliegenden Fall zum Blockieren von TCP-Port 3389 in Firewall und der Aktivierung der Network Level Authentication (NLA) geraten. Letzteres führt dazu, dass Angreifer über Anmeldedaten verfügen müssen bevor sie auf Remote Code zugreifen können.
Ein absoluter Schutz über das Schließen der aktuellen Sicherheitslücke hinaus ist jedoch nicht möglich. Es ist nahezu sicher, dass weitere Sicherheitslücken auftreten werden, die von Angreifern missbraucht werden könnten. Eine aufmerksame Verfolgung der Empfehlungen von Softwareherstellern und den Hinweisen der Sicherheitsbehörden, in Deutschland dem BSI, ist ratsam. Regelmäßig sollte eine Überprüfung auf das Vorhandensein neuer Updates vorgenommen werden.
Versäumter Schutz hat schwere Folgen
Dass das Ergreifen von geeigneten Maßnahmen im unternehmerischen Eigeninteresse liegt, ist evident. Denn der potentielle Schaden steht in keinem Verhältnis zu dem Aufwand die Systeme durch die Installation des Updates zu schützen.
Der Schutz vor Schadsoftware sollte Unternehmen sowie dem privaten Anwender auch deshalb nahegelegt werden, um sich nicht selbst Ansprüchen von Dritten auszusetzen. Mögen Betroffene zunächst selbst Opfer eines Angriffs sein, ist nicht ausgeschlossen, dass Dritte Ansprüche wegen der Gefährdung ihrer Daten geltend machen werden. Vor allem deliktische Ansprüche, etwa wegen Verstößen gegen Datenschutzregeln sind denkbar. So könnte neben den vom Angriff verursachten Schaden, eine weitere Belastung der Betroffenen erfolgen. Unter welchen Umständen einem Unternehmen ein Verstoß zur Last fallen soll, ist noch nicht abschließend geregelt. Ungeklärt ist in diesem Zusammenhang auch, ob von Unternehmen über die Installation von Software-Updates hinausgehender Selbstschutz verlangt werden kann. Gerade wegen dieser ungeklärten und offenen Rechtslage ist es empfehlenswert Vorsicht walten zu lassen und bei der Beachtung von IT-Sicherheitspflichten ein erhöhtes Maß an Sorgfalt anzulegen.
Der Rückgriff auf Täter ist bisher nicht gelungen. Die Folge ist das wachsende Aufkommen von Cyber-Versicherungen, die eine Absicherung für den Fall eines Angriffs bieten. Inwiefern und unter welchen Bedingungen diese für Schäden aufkommen werden, dürfte stark vom Einzelfall abhängen. So hat in diesem Zusammenhang jüngst der US-Nahrungsmittelkonzern Mondelez seinen Versicherer Zurich in den USA verklagt. Zurich hatte sich geweigert Schäden, die Mondelez in Folge der Petya Attacke erlitten hatte, zu übernehmen. Mondelez fordert nun Schadensersatz in Höhe von 100 Millionen US-Dollar. Zurich wies Forderungen nach Ersatz für die bei dem Angriff entstandenen Schäden, mit der Begründung, es habe sich um eine „feindliche oder kriegerische Handlung gehandelt“, zurück. Der Prozess ist noch nicht abgeschlossen.
Fazit
Dass die aktuelle Lücke rechtzeitig verifiziert und geschlossen werden konnte, ist begrüßenswert. Microsoft-Kunden sollten ihrerseits durch die Installation des Updates zum Schutz beitragen. Denn die Gefahr einer Virenpandemie ist weiter aktuell. Für einen konsequenten Schutz ist eine wachsame Verfolgung der Hinweise der Softwareentwickler und Sicherheitsbehörden unerlässlich.
Quellen:
https://www.heise.de/security/meldung/Eine-Million-verwundbare-Rechner-Microsoft-warnt-vor-dem-Super-Wurm-4436088.html, zuletzt abgerufen am 07.06.2019
https://www.heise.de/newsticker/meldung/WannaCry-Was-wir-bisher-ueber-die-Ransomware-Attacke-wissen-3713502.html, zuletzt abgerufen am 07.06.2019
https://www.cbsnews.com/news/wannacry-ransomware-attacks-wannacry-virus-losses/, zuletzt abgerufen am 07.06.2019
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2019-0708, zuletzt abgerufen am 07.06.2019
https://www.zdnet.de/88361755/bluekeep-schwachstelle-microsoft-und-nsa-warnen-vor-verheerenden-folgen/, zuletzt abgerufen am 07.06.2019
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/1865726/nsa-cybersecurity-advisory-patch-remote-desktop-services-on-legacy-versions-of/, zuletzt abgerufen am 07.06.2019
https://www.finanzen.ch/nachrichten/aktien/mondelez-klagt-anscheinend-gegen-zurich-gruppe-im-streit-um-cyber-attacke-notpeya-1027857254, zuletzt abgerufen am 07.06.2019