WannaCry: Wenn die Malware von heute der KI von gestern nicht gewachsen ist

WannaCry war das seit Langem übelste Stück Malware im Internet

Tweet

Es hat die Welt komplett überrumpelt und weltweit Schlagzeilen gemacht. Es hat in wenigen Stunden Hunderttausende von Computern außer Gefecht gesetzt, hat ihre Nutzer verzweifeln lassen und Cybersicherheitsfirmen fassungslos gemacht. Unglücklicherweise haben die meisten Unternehmen es nicht kommen sehen, da Cybersicherheits-Tools und -Techniken typischerweise eher nach hinten als nach vorn blicken.

Wie konnten nun einige Anbieter sich bereits 2015 dagegen schützen, lange bevor WannaCry das Licht der Welt erblickte? Es war die Integration von Künstlicher Intelligenz (KI) in Cybersicherheitslösungen, die es Unternehmen ermöglichte, in die Zukunft zu blicken.

Malware wie WannaCry gibt es nicht so oft. Einfache Ransomware bekommt man heute fast geschenkt, aber die Wurm-Funktionalität, mit deren Hilfe sich WannaCry so rasch verbreiten konnte, ist nach wie vor eher eine Seltenheit.

Gelegentlich stößt jemand auf eine Sicherheitslücke, über die Software einen Computer infizieren und sich ohne menschlichen Eingriff schnell auf die anderen Maschinen im Netzwerk ausbreiten kann. Das ist in den letzten Jahren einige Male passiert, denken Sie nur an Würmer wie Melissa, Code Red und Conficker.

WannaCry nutzte eine Schwachstelle im Server Message Block (SMB) aus - das ist ein Protokoll, das Windows zum Filesharing im Netzwerk nutzt. Ein Angreifer kann die Kontrolle über einen Computer übernehmen, indem er ihm über ältere Versionen von SMB, wie man sie in Windows XP, 7 und 8 findet, spezielle Anweisungen schickt.

Die NSA (die National Security Agency der USA) hatte diese Schwachstelle als Erste entdeckt und in Form eines Exploits namens EternalBlue für eigene Zwecke zur Waffe gemacht. Aber eine anonyme Gruppe, die sich selbst „The Shadow Brokers“ nennt, verschaffte sich 2016 bei einem digitalen Raubzug Informationen zu diesem Exploit - und einer ganzen Reihe weiterer - und hat diese Informationen online veröffentlicht.

Sobald WannaCry eine Maschine infiziert, nutzt es die Sicherheitslücke in Windows aus und sucht nach weiteren Computern im Netzwerk. Außerdem sucht es auch im Internet per Zufall nach verwundbaren Computern und infiziert diese - das ist einer der Gründe, aus denen sich die Malware so rasend schnell verbreitete.

Die ersten WannaCry-Infektionen registrierte man in Europa. Die Ransomware griff dank ihres Fortpflanzungscodes sehr schnell um sich. Sie erschien am gleichen Tag in Großbritannien und Spanien. Das spanische Telekommunikationsunternehmen Telefonica meldete, dass es betroffen war, auch Mitarbeiter des staatlichen Gesundheitsdienstes in Großbritannien (NHS) gaben an, dass ihre Systeme über eine Phishing-Attacke infiziert worden waren. Von da aus verbreitete sich der Wurm schnell im jeweiligen Unternehmen und legte Kliniken lahm, indem er den Zugriff auf Patientenunterlagen versperrte.

Die Produktion im Nissan-Werk in Sunderland, Großbritannien, kam zum Erliegen, und Renault unterbrach den Betrieb in ganz Europa, um die Weiterverbreitung von WannaCry zu unterbinden. In Deutschland waren mehrere Hundert Computer der Deutschen Bahn betroffen, auch in China und Russland wurden Infektionen gemeldet - in Russland sogar im Innenministerium.

Am 14. Mai hatte WannaCry laut Europol 200.000 Opfer in 150 Ländern befallen. Auch das Heimatschutz-Ministerium der USA (DHS) warnte in einem Memo vor der Malware.

Microsoft reagierte sehr schnell und gab einen Notfall-Patch für Windows XP heraus - wie gravierend das Unternehmen die Situation einschätzte, zeigt sich daran, dass das Unternehmen das Betriebssystem seit Langem nicht mehr offiziell unterstützt (abgesehen von einigen Vertragskunden).

Wirklich tragisch an WannaCry ist allerdings, dass man seine Verbreitung auf allen Systemen außer XP hätte verhindern können. Microsoft hatte schon im März, also fast zwei Monate, bevor der Wurm in freier Wildbahn auftrat, die Sicherheitslücke, die EternalBlue ausnutzte, öffentlich gemacht und Patches dafür bereitgestellt.

Warum waren die Patches nicht eingespielt worden? Bei einzelnen Nutzern oder sehr kleinen Unternehmen ist das Patchen noch einfach. Bei größeren Unternehmen ist es alles andere als das: Patches müssen ausgiebig getestet werden, in vielen Großunternehmen müssen sie auch den strengen Change-Management-Regelungen entsprechen - so können interne Patch-Zyklen durchaus 90 Tage und länger dauern.

Und warum schützte herkömmliche Antivirensoftware nicht vor WannaCry? Die meisten Antiviren-Tools arbeiten mit Signaturanalyse; das bedeutet, dass die Anbieter ihre Signaturdatenbanken erst mit dem einzigartigen digitalen Fußabdruck neuer Malware aktualisieren müssen, bevor die Software die Malware erkennt. Und dann müssen diese Updates erst noch an die Nutzer verteilt werden.

Selbst in den besten Fällen bedeutet der Signaturscan-Ansatz, dass unweigerlich einige Computer einem neuen Malware-Stamm zum Opfer fallen. Bei WannaCry hat das System nicht schnell genug gearbeitet, um WannaCry an seiner aggressiven Verbreitung zu hindern.

Die Hersteller herkömmlicher Antivirensoftware werben gern mit heuristischer Analyse, die verdächtiges Verhalten auf den Computern erkennen und unterbinden können soll. Aber kann man sich ein noch verdächtigeres Verhalten vorstellen als das von WannaCry? Schließlich verschickte die Malware fehlerhafte Meldungen über ein als verwundbar bekanntes Protokoll an Hunderte von Maschinen im lokalen Netzwerk. Und doch gelang es, Hunderttausende von Computern zu infizieren.

Die rasend schnelle Ausbreitung von WannaCry und die Tatsache, dass bereits Wochen vorher Patches verfügbar waren, zeigt, welchen reaktiven Ansatz die Geschäftswelt gegenüber Cyberangriffen immer noch verfolgt.

Dabei gehen Angreifer mit immer größerem Tempo vor. Sie verfügen nicht nur über eigene, hochinnovative Teams, sondern können inzwischen auch auf das bisher streng geheime Arsenal von staatlichen Behörden zurückgreifen. Wer heute noch darauf wartet, bis ihn ein Angriff trifft, und erst dann reagiert, hat schlicht und einfach keine Chance mehr.

Wäre es da nicht sinnvoller, den industrieweiten Ansatz umzudrehen und statt auf reaktive auf prädiktive Maßnahmen zu setzen? Auf Angriffe vorbereitet zu sein, lange bevor die Angreifer zuschlagen, würde uns vor lähmenden Angriffen wie Ransomware schützen - und vor Schlimmerem.

Statt Dateisignaturen zu prüfen oder sich vollständig auf heuristische Analyse zu verlassen, müssen wir anerkennen, dass das Ausmaß an Malware-Angriffen immer weiter ansteigt, und auf Techniken zurückgreifen, die Unternehmen möglicherweise stärker angreifbar machen. Mit den heute verfügbaren KI-basierenden Technologien ist das machbar.

KI-basierende Bedrohungsanalyse untersucht Tausende von Dateien und modelliert ihre Eigenschaften. Dadurch erhält man ein sich ständig weiterentwickelndes Bild davon, wie bösartige Dateien aussehen. Die Bedrohungsanalyse kann dann dieses statistische Modell lokal anwenden, sobald es eine Datei erstmals untersucht, und das Risiko einschätzen, ob die Datei sich bösartig verhalten wird.

Der KI-basierende Ansatz bietet tatsächlich die Fähigkeit, Angriffe vorauszusagen, noch lange bevor ein Angreifer überhaupt darüber nachdenkt. Das bedeutet: Keine in Kauf genommenen Opfer mehr. Kein Ansturm mehr auf die Cloud, um schnell noch Echtzeit-Updates zu laden, die eine Infektion verhindern. Kein Hoffen mehr, dass der eigene Dienstleister die Angreifer im Kopf-an-Kopf-Rennen um die Kontrolle über Ihre Maschine schlägt.

Wie groß kann der Vorsprung durch KI sein? Cylance® errechnet den sogenannten Temporal Predictive Advantage (TPA), den Zeitvorteil durch Prädiktion. Sobald das Cylance-Team von einem neuen Malware-Stamm erfährt, testet es den Stamm anhand früherer Releases des Maschinenlernen-Modells, um herauszufinden, welches davon den Stamm als erstes entdeckt hätte.

Bei WannaCry betrugt der TPA für Nutzer von Windows XP SP2 stolze 14 Monate. Also lange, bevor Microsoft die Sicherheitslücke bekannt gab, und lange bevor die Shadow Brokers ihre digitale Schatzkiste mit dem Exploit öffneten, schützte der KI-basierende Endpunktschutz durch CylancePROTECT die Nutzer schon vor WannaCry. Bei anderer Malware ist der zeitliche Vorsprung ähnlich groß, wenn nicht sogar größer. Bei Goldeneye, einem weiterem Malware-Stamm, dem zahlreiche Kunden zum Opfer fielen, betrug der TPA von Cylance sogar 18 Monate.

Wer hat gesagt, dass es keine Kristallkugel gibt?