Warnung vor Cyber-Attacken mit verzögerter Schadfunktion

Ein Kommentar von Andrew Stuart, Managing Director EMEA, Datto

[datensicherheit.de, 12.07.2017] Immer häufiger verteilen Cyberkriminelle ihre Schadsoftware, ohne dass diese sofort aktiv wird. So warnt etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktuell davor, dass eine Infektion mit dem Verschlüsselungstrojaner Petya/NotPetya bereits im April erfolgt sein kann, die Angriffsfunktionen bislang allerdings noch nicht ausgelöst wurden. Daher müsse man auch Backups, die seit dem Angriffszeitpunkt im April 2017 angelegt wurden, als potenziell kompromittiert betrachten.

Andrew Stuart, Managing Director EMEA, Datto, sieht zahlreiche Unternehmen dadurch in einer fatalen Lage:

 „Die Vorgehensweise der Cyberkriminellen zeigt eine Schwachstelle in Unternehmen auf, die sich in puncto IT-Security voll und ganz auf die Kontrolle des eingehenden Netzwerkverkehrs und Traffics verlassen. Denn viele Erkennungsalgorithmen und -signaturen waren in den frühsten Zeiten der Attacke noch nicht in der Lage, die Bedrohung zu erkennen.

Sitzt die Malware in den Datensicherungen, ist es wie bei der Infektion mit einer ansteckenden Krankheit – eine Impfung nach der Übertragung nützt nichts. In diesem Fall müssen die Backups auf eine mögliche Infektion überprüft werden, was technologisch keine allzu diffizile Aufgabe ist.

 Schwierig wird die Situation für Firmen, die für ihre Backups nur relativ kurze Aufbewahrungszeiten eingerichtet haben. Im vorliegenden Fall sind es drei Monate, die eine Infektion zurückliegen kann – wer für diesen Zeitraum nicht über einen lückenlosen Backup-Bestand verfügen kann, hat ein Problem.

Und dieses Problem kann sogar noch anwachsen, denn niemand kann wirklich exakt bestimmen, zu welchem Zeitpunkt mit der Verteilung der Malware begonnen wurde. Auch ist es durchaus möglich, dass nicht nur Petya/NotPetya in einem System als Zeitbombe platziert wurde, sondern auch weitere, bislang noch nicht bekannte Malware.

Da erscheint eine Situation nicht abwegig, in der ein Unternehmen die Datensicherungen aus der Woche vor dem angenommenen Starttermin der Angriffswelle einspielt, nur um anschließend festzustellen, dass das System bereits infiziert war.

Die Verfügbarkeit lückenloser Backups sollte sich also nicht auf einen Zeitraum von wenigen Wochen oder Monaten beschränken. Schließlich gilt es, einen längeren Atem als die Cyberkriminellen zu haben.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.07.2017
Petya: Bedrohung laut BSI größer als bisher bekannt