Petya: Und täglich grüßt das Murmeltier

Was haben ein Murmeltier und ein TV-Wettermoderator mit der aktuell grassierenden Ransomware Petya zu tun? Eine Menge wie ich meine:

Wenn ich die aktuellen Geschehnisse rund um die grassierende Ransomware Petya betrachte, fühle ich mich wie Phil Connors in der Filmkomödie „Und täglich grüßt das Murmeltier“, wo der TV-Wetteransager in einer Zeitschleife festsitzt, in der er von einem Ritual in einer Kleinstadt berichten soll, bei dem man jedes Jahr am 2. Februar den Tag des Murmeltiers begeht.

Jeden Morgen wacht Phil auf, und es ist immer wieder aufs Neue der 2. Februar. Abgesehen davon, dass er die Kleinstadt wegen des Sturms nicht verlassen kann, kann Phil diesen Tag so verbringen, wie er es wünscht; niemand außer ihm merkt, dass sich der Murmeltiertag ständig wiederholt.

Und genau sowie in der genannten Komödie stellen sich die Ereignisse in der Realität da, wo eine Schadsoftware die Informationen auf IT-Systemen unbrauchbar macht. Im Fall von Petya wird zusätzlich auch das IT-System selbst zunächst außer Gefecht gesetzt, durch das Überschreiben des Master Boot Records durch die Schadsoftware. Und wieder ist der Angriffsvektor die Windows-SMB-Schwachstelle ("EternalBlue"), die durch die Angriffswerkzeuge der NSA bekannt wurde, und die bereits vor kurzer Zeit durch die Ransomware WannaCry genutzt wurde, für die es seit langem entsprechende Patches gibt.

Man kann spekulieren was die Motivation für die Erstellung und das Ziel von Petya gewesen sein mag. Der Angriffsschwerpunkt der Petya-Ransomware-Welle scheint zunächst in der Ukraine gelegen zu haben, da die besonders in der Ukraine weit verbreitete Buchhaltungssoftware M.E.Doc Ziel war. In der Ukraine waren das Innenministerium, ein staatlicher Energieversorger, zahlreiche Banken und ein Flughafen von der Ransomware betroffen. Aber auch in Deutschland sind einige Institutionen betroffen (Deutsche Post, Bayersdorf, Merk, Metro, …).

Mir geht es an dieser Stelle so ähnlich wie Phil. Der ist zunächst ungläubig ist und an seinem Verstand zweifelt. Und ich frage mich, wie oft sich ein solches Ransomware-Szenario noch wiederholen wird, bis der Reifegrad der Informationssicherheit, zumindest bei den größeren Institutionen (Stichwort KRITIS), so weit angestiegen ist, das zumindest diese die Zeitschleife verlassen können.

Aber was kann man tun um die Zeitschleife zu verlassen? Schauen wir was Phil getan hat: Der ist zunächst ebenfalls ratlos aber beginnt dann schrittweise er seine täglichen Erfahrungen kontinuierlich für sich zu nutzen, um seine Rahmenbedingungen und damit auch die Lebensumstände der Kleinstadt zu verbessern. Er nutzt er die Wiederholungstage für die kontinuierliche Verbesserung.

Wir müssen also Informationssicherheit nicht als einmalige Sache betrachten, sondern als einen kontinuierlichen Prozess! Und wenn wir in diesem Zuge eine kontinuierliche Verbesserung erreichen, wird das zu einem immer besseren Reifegrad der Informationssicherheit sorgen. Und genau das machen die mittlerweile auch an vielen Stellen gesetzlich geforderten Informationssicherheitsmanagementsysteme (ISMS). Sie implementieren einen kontinuierlichen Verbesserungsprozess (Plan, Do, Check, Act) in die jeweilige Institution.

Es wird deutlich das (technische) Einzelmaßnahmen wenig zielführend sind, um ein für den jeweiligen Schutzbedarf der Institution erforderliches durchgängiges Sicherheitsniveau zu erreichen. Bei einer solchen Vorgehensweise wird wie bei einer Kette das schwächste Glied brechen. Und das problematische dabei ist, das wir nicht wissen wie viele Ketten mit welcher Gliederbeschaffenheit im Einsatz sind. Das Ganze gleicht einem unkalkulierbaren Glücksspiel.

Sondern es sind strategisch gesteuerte Maßnahmen erforderlich, die von Personen, Prozesse und Technik der jeweiligen Institution getragen werden und fest in die Abläufe und dem Aufbau einer Organisation verankert sind. Dabei ist es wichtig dass die so etablierten Maßnahmen vollständig, angemessen, überdeckungsfrei, möglichst einheitlich und konsistent konzipiert wurden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine Pressemeldung herausgegeben.Dort können Betroffene Hilfe finden oder sich per E-Mail direkt an die Meldestelle des BSI wenden.
Zum Schutz vor Ransomware könnten beispielsweise die folgenden Maßnahmen zielführend sein:

Um die Wirksamkeit der Maßnahmen dauerhaft sicherstellen zu können ist eine regelmäßige Überprüfung notwendig, die den jeweiligen Nachweis dokumentiert.

Ohne ein ISMS wird es zukünftig Organisationen nicht mehr gelingen das für Sie erforderliche Informationssicherheitsniveau zu etablieren und dauerhaft aufrecht zu erhalten. Und das gilt nicht nur für die Informationssicherheit sondern wird zukünftig auch im Datenschutz gelten. Bisher war man beim Datenschutz gemäß BDSG mit den TOMs noch ehr auf Einzelmaßnahmen ausgerichtet. Aber die europäische Datenschutzgrundverordnung (EU-DSGVO) stellt die geforderte Methodik um. Man kann aus Art. 32 DSGVO in Verbindung mit dem Accountability-Prinzip aus Art. 5 Abs. 2 DSGVO eine Pflicht zur Einführung eines Datenschutzmanagementsystems ableiten. Damit wird deutlich das zukünftig die Bereiche Informationssicherheit und Datenschutz in den Institutionen deutlich stärker zusammenarbeiten müssen, um wechselseitig Synergien zu nutzen zu können.

Es liegt somit an uns, wie schnell wir in der Realität diese Zeitschleife verlassen können und ob diese Geschichte für unsere Gesellschaft zu einem Drama wird.

29 Jun 2017
ISMS Petya Ransomware EU-DSGVO KRITIS NSA Informationssicherheit Datenschutz BSI
Autor: dirk-groesser