Die Epidemie des Ransomware WannaCry Trojaners hat bereits einen Haufen Probleme in allen Arten von Unternehmen verursacht. Wir gehen davon aus, dass Unternehmen, dessen Infrastrukturen auf eingebetteten Systemen basieren, besonders unglücklich über die Autoren dieser Malware sind.
Theoretisch sollten eingebettete Systeme für Ransomware-Akteure nicht besonders interessant sein; es ist zu bezweifeln, dass jemand für ein rein zweckmäßiges System Lösegeld bezahlt, das keine wertvollen Daten besitzt und dessen Festplatte routinemäßig formatiert wird. Aber WannaCry wählt seine Ziele nicht aus. Als Ergebnis der besonderen Natur der Schwachstelle, die es ausnutzt, hat WannaCry sich über lokale Netzwerke ausgebreitet und alle nicht ausgebesserten und ungeschützten Maschinen angegriffen.
Aus heiterem Himmel
Es wäre unfair zu sagen, dass diese Plage uns die Augen geöffnet hätte: Das Problem der unzureichenden Sicherheit von eingebetteten Systemen ist nicht neu, und es ist seit langem bekannt, dass sie immer schon weniger (wenn überhaupt einen) Schutz hatten als Arbeitsstationen und Server. Aber WannaCry hat dieses Thema ins Rampenlicht gestellt.
Wenn wir von eingebetteten Systemen sprechen, fallen einem Geldautomaten und POS-Terminals ein. Und tatsächlich wurden ein paar davon infiziert, obwohl sie dazu tendieren, aufgrund von Regulierungen und weil sie oft als Bedrohungsmodelle angesehen werden, einen installierten Schutz zu haben. Die Infektion dieser Systeme wie z.B. Informationstafeln, medizinische Geräte und Verkaufsmaschinen sah nach einem größeren Deal aus – gelinde ausgedrückt.
Wow, even in my building lobby! #WannaCry #ransomware pic.twitter.com/ilPqHBmiB5
— Andrew Tinits (@amtinits) May 12, 2017
Die Eigentümer von infizierten eingebetteten Systemen fühlen sich nicht besser bei dem Wissen, dass sie kein Lösegeld an Kriminelle gezahlt haben; sie leiden trotzdem unter den spürbaren Schäden.
- Unbrauchbare Verkaufsmaschinen, Geldautomaten oder automatisierte Ticketschalter bedeuten Zahlungsrückgänge.
- Eine Lösegeldforderung auf einem öffentlich zugänglichen Bildschirm teilt Kunden Folgendes mit: „Unsere Sicherheit ist schlecht“. Es ist schwierig, das Ausmaß des Schadens zu beurteilen, das so eine Nachricht für das Ansehen einer Firma haben kann. Wird ein Kunde, der so eine Nachricht sieht, wiederkommen?
- Infizierte Automaten müssen repariert werden. Wenn hunderte von Automaten genutzt werden, kann man sich ausrechnen, wie viel Geld das kosten mag, vor allem unter Beachtung der geografischen Verteilung und Dringlichkeit, mit der das Personal die Betriebssysteme neu installieren und Änderungen in den Sicherheitseinstellungen vornehmen muss. Und manche Geräte nutzen überholte Software, dessen Neuinstallation eine Herausforderung oder bei denen es gar unmöglich ist.
Wegen der Trolle in den sozialen Netzwerken blieben diese Bildschirme nicht unbemerkt.
Don't worry boss, no-one outside the company will ever know we were hit by #WannaCry pic.twitter.com/ciI2gdBVSR
— Graham Cluley (@gcluley) May 14, 2017
Wie das Problem gelöst wird
Warum mangelt es den eingebetteten Systemen an Schutz? Es gibt zwei Gründe. Erstens wurde ihre Sicherheit bisher oft übersehen. Zweitens tendieren sie dazu, veraltete Hardware und Internetkanäle mit niedriger Bandbreite sowie überholte Betriebssysteme zu nutzen. Sie scheinen einfach nicht fit genug zu sein, um Sicherheitslösungen zusätzlich zu ihren Hardware-Ressourcen zu verwenden.
Wie #EmbeddedSystems vor Cryptomalware, Exploits und Infektionen geschützt werden
Tweet
Wir müssen zugeben, dass WannaCry dazu beigetragen hat, dass die Welt das erste Problem erkennt. Und es ist wahr, dass der Schutz von eingebetteten Systemen mit einer herkömmlichen Anti-Malware-Lösung wohl nicht die wirksamste Herangehensweise ist. Eben deshalb haben wir Kaspersky Embedded Systems Security speziell für eine große Auswahl an eingebetteten Systemen entwickelt. Diese ist weniger ressourcenaufwendig als eine Desktop-Sicherheitslösung, schützt aber vor Infektionen, da sie eine Anzahl an Desktop-Sicherheitsfunktionen mitbringt.
Im Falle von Angriffen durch Cryptomalware (einschließlich WannaCry) funktioniert die Lösung folgendermaßen:
- Der Standard-Ablehnungs-Modus ist die Kerntechnologie des Produkts. Er schließt das Ausführen von jedwedem Code, sogar Scripts aus, wenn diese nicht auf der weißen Liste stehen. Also auch wenn Cryptomalware in das System eindringen konnte, zum Beispiel dadurch, dass es als legitime Software getarnt war, wird es nicht fähig sein, sich selber auszuführen.
- Die Prozessspeicher-Schutzkomponente analysiert die Integrität von Prozessen auf dem Speicher und sorgt der Ausnutzung von sowohl bekannten als auch unbekannten Schwachstellen vor.
- Kaspersky Embedded Systems Security beinhaltet eine zentral kontrollierte Firewall, die es ermöglicht, den Ausgang schnell zu deaktivieren, der von einer Schwachstelle genutzt wird, sobald man diese erkannt hat.
- Die Technologie, die USB-Geräte kontrolliert, wenn sie mit einem Gerät verbunden sind, verbessert die Lösung zusätzlich. Diese beugt Infektionen durch ein nicht vertrauenswürdiges USB-Gerät vor. Zum Beispiel durch etwas, dass während der Instandhaltung passieren kann.
- Das Anti-Malware-Modul ist optional erhältlich und reinigt das System von jeder infizierten Datei.
Nach unseren Aufzeichnungen wurde kein Gerät durch WannaCry infiziert, das durch die Kaspersky Embedded Systems Security geschützt war. Diese Lösung schützt derzeit hunderttausende eingebettete Systeme auf der ganzen Welt. Also ist es fair zu sagen, dass sie die echte Bewährungsprobe bestanden hat. Deshalb empfehlen wir Ihnen dringend unsere Lösung auszuprobieren, wenn Ihre Netzwerk-Infrastruktur eingebettete Systeme, die unter eingebettetem Windows laufen, beinhaltet.