Ransomware „WannaCry“

Seit Freitag wird über weltweite IT-Sicherheitsvorfälle mit hoher Schadenswirkung berichtet, die durch die Ransomware "WannaCry" ausgelöst werden. Auch deutsche Unternehmen sind betroffen.

Die Infektion kann über eine E-Mail mit einem komprimierten Dateianhang erfolgen. Antivirus-Filter auf Mailservern filtern die Schadsoftware meist nicht aus. Sobald erst einmal ein System in einem Netzwerk infiziert ist, nutzt die Schadsoftware eine Schwachstelle in Microsoft Windows, um sich ohne Zutun der Benutzer weiter im Netzwerk auszubreiten.

Durch Zufall wurde ein Weg gefunden, die Verbreitung der Schadsoftware vorerst einzudämmen, indem eine Domain registriert wurde, die als eine Art „Killswitch“ funktioniert. Um hiervon zu profitieren, ist es unbedingt erforderlich, dass die Domain iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com erreichbar ist und Traffic dorthin nicht durch einen Proxy oder durch Virenschutzsoftware gefiltert wird. 

Es sind jedoch bereits neue Varianten gesichtet worden, bei denen dieser „Killswitch“ keine Wirkung zeigt. Daher sollte als wichtigste Gegenmaßnahme das Microsoft-Sicherheitsupdate MS-17-010 unbedingt schnellstmöglich auf allen Geräten mit Windows-Betriebssystem eingespielt werden. Microsoft hat auch Updates für ältere Versionen von Windows veröffentlicht, inklusive Windows XP.

Allgemeine Informationen und Handlungsempfehlungen zum Schutz vor Ransomware hat das BSI in einem Dossier zusammengefasst, das auf der BSI-Webseite heruntergeladen werden kann. Über die etablierten Kanäle von CERT-Bund, UP KRITIS und Allianz für Cyber-Sicherheit stellt das BSI Wirtschaft und Verwaltung Informationen und Handlungsempfehlungen zur Verfügung.

[Update 2017-05-18] Das ICS-CERT hat ein Fact Sheet zu WannaCry veröffentlicht.