Welche Folgen ein Ransomware-Angriff für Unternehmen und deren IT-Abteilung haben kann, hat sich bei der weltweit operierenden dänischen Firma AP Moller-Maersk gezeigt.
Anzeige
Im Sommer 2017 wütete die Ransomware NotPetya in der Industrie. Die vor allem in der Ukraine verbreitete Buchhaltungssoftware M.E.Doc wurde als Ursprung der Attacke identifiziert. Die Hacker zeigen tiefes Verständnis des verwendeten Programms und planten ihren Angriff zum Einschleusen der Backdoor in M.E.Doc sorgfältig. Um die Sicherheitslücke in das Programm einzuschleusen, müssen sie sich Zugriff zum Quellcode des Programms verschafft und sich ausführlich mit ihm befasst haben. Hier einer der frühen Tweets zum Angriff.
Huge Global #CyberAttack / #Ransomware spreading right now. Its a #Petya variant that spreads through SMB and #EternalBlue exploit. pic.twitter.com/fjP60jS6p9
— George Argyrakis (@gargyrakis) 27. Juni 2017
Ich hatte mehrere Blog-Beiträge zum Thema verfasst, siehe hier und die Linkliste am Artikelende.
Riesige Schäden durch Wiper-Ransomware
Die Cyberattacke der Ransomware NotPetya hat zwar nur gut 20.000 Systeme betroffen (siehe Neues zu Petya: Zahl der Infektionen, Ziele und mehr …). Aber die Ransomware war als Wiper konzipiert: Dateien wurden überschrieben, und ließen sich nicht mehr restaurieren. Die Schäden waren teilweise gigantisch.
Anzeige
- So kam der Hafenbetrieb in Bombay (Mumbai) in Indien für einen Tag wohl komplett zum Stillstand. Hintergrund ist wohl, dass die dänische Firma AP Moller-Maersk, die von der Attacke besonders betroffen war, das Terminal am Hafen betreibt. Details finden sich hier.
- Einem Tweet der Firma AP Moller-Maersk ist zu entnehmen, dass man immer noch daran arbeitet, die Schäden zu beheben.
- Beim Hersteller Mondelez steht seit einer Woche die Produktion von Milka-Schokolade still, wie der Tagesspiegel hier berichtet.
- Der Reinigungsmittelhersteller Reckitt Benckiser (Sagrotan etc.) verzeichnet durch Ausfall von Systemen einen Umsatzrückgang für das zweite Quartal, wie heise.de hier berichtet.
Inzwischen scheint klar, dass die Ransomware geschrieben wurde, um der Ukraine zu schaden.
Was es für die IT von Maesk bedeutet
Maersk-Vorsitzender Jim Hagemann Snabe hat auf dem Weltwirtschaftsforum in Davos die Erfahrungen des Unternehmens mit diesem Angriff beschrieben. "Ich werde den 27. Juni nie vergessen, ich wurde um vier Uhr morgens geweckt.", so der Manager. Dann nennt er Kenndaten.
- Maesk transportiert 20% des Welthandels in seinen Schiffscontainern. Nach dem Angriff musste die Firma 10 Tage lang analog arbeiten und die Transporte verwalten. Denn alle fünfzehn Minuten erreicht eines der Meask-Schiffe mit zehn- bis zwanzigtausend Containern einen Hafen irgendwo auf der Welt.
- Die IT musste 45.000 Client-Rechner und 4.000 Server neu aufsetzen, wobei die System weltweit verteilt und teilweise an unzugänglichen Orten stationiert waren.
- Weiterhin waren 2.500 verschiedene Programme auf diesen Systemen neu zu installieren und einzurichten.
Dies dürfte die IT an ihre Grenzen gebracht haben. Die in englisch gehaltenen Ausschnitte der Diskussionsrunde sind in diesem YouTube-Video zu sehen. Ein deutschsprachiger Artikel mit weiteren Details findet sich z.B. bei heise.de.
Ich sage es mal so: Wenn die Industrie und die Firmen nicht bald aufwachen, wird das Ganze früher oder später in einem Crash enden. Eine immer weiter gehende Vernetzung, noch größere Abhängigkeit von IT, Cloud & Co., sowie qualitativ schlechter werdende Software erhöhen das Risiko für erfolgreiche Angriffe und bauen ein riesiges Schadpotential auf.
Ähnliche Artikel:
Achtung: Petya Ransomware befällt weltweit Systeme
ESET Analyse zu Not Petya/Diskcoder.C Verbreitung
Warnung vor neuem NotPetya-ähnlichem Cyber-Angriff
Neues zur Petya Ransomware – Killswitch gefunden?
Ransomware WannaCry befällt tausende Computer weltweit
Malwarebytes-Analyse: Wie sich WannaCry verbreitete
WannaCrypt: Updates für Windows XP, Server 2003 & Co.
WannaCry: Meist ungepatchte Windows 7 Systeme befallen
WannaCry: Verschlüsselte Daten per Recovery retten?
WannaCry: Analysen, Windows 10-Port, Daten-Recovery …
WannaCry-Infektionen bei Daimler?
Anzeige
So wie es vor Jahren war in den Anfängen, scheint es robuster gewesen zu sein: Die Arbeit wurde hier und da erleichtert, aber die Systeme waren eingeschränkt und nicht weltweit vernetzt.
Inzwischen ist mit anhaltender Naivität vom Anfang weitergeforscht worden und entwickelt, jetzt ist die Technik viel weiter, aber der Schutz und mit ihm die Robustheit sind kaum entwickelt worden, weil sie für sich wohl wenig den Profit fördern.
Nur die Investition in sichere Systeme wird aber nicht reichen. Auch wenn es schon ein guter Anfang ist, wenn man jetzt den Aktionären Ausgaben dafür plausibel machen kann.
Aber in Zukunft werden solch große Firmen wohl regelmäßig Übungen abhalten müssen, um auf solche Fälle vorbereitet zu sein.
Und immerhin muss man der IT von Maersk doch zugutehalten, wie schnell sie die Infrastruktur wieder zum Laufen gebracht haben. Wenn so etwas einem mittelständischen Unternehmen geschieht, würde wohl wohl eher mächtig Arbeit auf die Insolvenzverwalter zukommen …
Davos?
Da treffen sich doch die, die Microsoft zu Füssen liegen…
Und wieso neu aufsetzen?
Predigt man nicht immer "Backup, Backup, Backup"? Das hätten die doch einfach zurückspielen können… ;-)