Der Vorfall
Am 27. Juni 2017 – nur sechs Wochen nach WannaCry – traf eine noch verheerendere Cyberattacke die Welt. Was zunächst wie eine weitere Ransomware-Welle aussah, entpuppte sich als etwas weitaus Schlimmeres: ein Wiper-Angriff, der Daten nicht verschlüsselte, sondern unwiederbringlich zerstörte.
NotPetya begann in der Ukraine, breitete sich aber innerhalb von Stunden weltweit aus. Die dänische Reederei Maersk, verantwortlich für fast 20 Prozent des weltweiten Containerverkehrs, wurde besonders hart getroffen. 45.000 PCs und 4.000 Server mussten komplett neu aufgesetzt werden. Der Schaden: 300 Millionen US-Dollar. In den ersten Tagen nach dem Angriff konnte Maersk keine Container mehr tracken, keine Schiffe beladen und keine Häfen koordinieren.
Der Pharmariese Merck bezifferte seinen Schaden auf 870 Millionen Dollar. FedEx-Tochter TNT Express verlor 400 Millionen. Der französische Baustoffhersteller Saint-Gobain meldete 384 Millionen Schaden. Mondelez, Beiersdorf, Reckitt Benckiser – Konzern um Konzern meldete katastrophale Ausfälle.
Die Gesamtschäden von NotPetya werden auf über 10 Milliarden US-Dollar geschätzt. Es gilt als der teuerste Cyberangriff der Geschichte. Die US-Regierung und mehrere europäische Staaten attribuierten den Angriff später dem russischen Militärgeheimdienst GRU – eine Cyberwaffe im Kontext des Ukraine-Konflikts, die außer Kontrolle geriet.
Wie der Angriff funktionierte
NotPetya nutzte einen besonders perfiden Angriffsvektor: einen Supply-Chain-Angriff über die ukrainische Buchhaltungssoftware M.E.Doc. Diese Software war in der Ukraine quasi Pflicht für die Steuererklärung – und genau das machten sich die Angreifer zunutze.
Stufe 1 – Kompromittierung der Update-Server: Die Angreifer infiltrierten die Update-Infrastruktur von M.E.Doc. Wenn die Software ihr reguläres Update durchführte, wurde stattdessen der Schadcode ausgeliefert. Für die Nutzer sah es aus wie ein ganz normales Software-Update – signiert und verifiziert.
Stufe 2 – Initiale Ausführung: Der eingeschleuste Code begann sofort, Zugangsdaten aus dem Windows-Speicher zu extrahieren. Dafür nutzte NotPetya eine modifizierte Version des Hacking-Tools Mimikatz, das Passwörter und Kerberos-Tickets aus dem RAM ausliest. Gleichzeitig nutzte es – wie WannaCry – den EternalBlue-Exploit für die Verbreitung.
Stufe 3 – Laterale Ausbreitung im Netzwerk: Mit den gestohlenen Zugangsdaten bewegte sich NotPetya durch das gesamte Unternehmensnetzwerk. Es nutzte Windows-Verwaltungstools wie PsExec und WMI (Windows Management Instrumentation), um sich auf andere Rechner zu kopieren und dort auszuführen. Da es legitime Administratoren-Zugangsdaten verwendete, war diese Verbreitung für Sicherheitssysteme kaum von normaler Netzwerkadministration zu unterscheiden.
Stufe 4 – Zerstörung statt Verschlüsselung: NotPetya überschrieb den Master Boot Record (MBR) der Festplatte und verschlüsselte die Master File Table (MFT) des NTFS-Dateisystems. Zwar zeigte es eine Erpressernachricht mit der Forderung von 300 Dollar in Bitcoin, doch die Entschlüsselung war technisch unmöglich. Die Installations-ID, die angeblich zur Entschlüsselung dienen sollte, war zufällig generiert – es gab schlicht keinen Schlüssel. NotPetya war keine Ransomware. Es war eine Waffe.
Warum Virenscanner versagten
NotPetya stellte Virenscanner vor ein dreifaches Problem:
Problem 1 – Vertrauenswürdige Quelle: Der Schadcode kam über ein legitimes Software-Update. Die Update-Server von M.E.Doc waren als vertrauenswürdig eingestuft. Virenscanner prüfen Software-Updates von bekannten Herstellern typischerweise weniger streng – ein fundamentaler Designfehler in der Architektur signaturbasierter Erkennung.
Problem 2 – Legitime Tools: NotPetya nutzte für die Verbreitung im Netzwerk keine offensichtlich schädlichen Tools, sondern Windows-eigene Werkzeuge wie PsExec und WMI. Diese werden täglich von Systemadministratoren eingesetzt. Ein Virenscanner, der PsExec blockiert, würde den normalen IT-Betrieb lahmlegen.
Problem 3 – Geschwindigkeit: NotPetya verbreitete sich mit enormer Geschwindigkeit. Bei Maersk vergingen vom ersten infizierten Rechner bis zum kompletten Netzwerkausfall nur sieben Minuten. Selbst wenn ein Virenscanner nach fünf Minuten Alarm geschlagen hätte – die Zerstörung war bereits im Gang.
Die Erkennung durch Virenscanner erfolgte erst Stunden nach Beginn des Angriffs. Zu diesem Zeitpunkt hatten die meisten betroffenen Unternehmen bereits den Großteil ihrer Infrastruktur verloren.
So hätte Deep Freeze geschützt
NotPetya zeigt besonders eindrucksvoll, warum Deep Freeze einem Virenscanner überlegen ist – gerade bei zerstörerischen Angriffen.
Das Kernproblem bei NotPetya: Die Daten waren unwiederbringlich zerstört. Es gab keine Möglichkeit zur Entschlüsselung, weil gar keine echte Verschlüsselung stattfand. Maersk hatte Glück, dass ein einziger Domain Controller in Ghana wegen eines Stromausfalls offline war und so als Basis für den Wiederaufbau dienen konnte. Ohne diesen Zufall wäre der Wiederaufbau noch dramatisch schwieriger gewesen.
Szenario mit Deep Freeze: NotPetya gelangt über das M.E.Doc-Update auf einen Rechner. Es überschreibt den MBR und die MFT. Der Rechner ist nicht mehr bootfähig. Doch dann greift Deep Freeze ein: Beim nächsten Neustart – ob manuell erzwungen oder durch die IT-Abteilung ausgelöst – setzt Deep Freeze die eingefrorene Partition auf den Originalzustand zurück. Der MBR wird wiederhergestellt. Die MFT wird wiederhergestellt. Alle Systemdateien sind wieder im Ursprungszustand.
Deep Freeze operiert auf Sektorebene der Festplatte, unterhalb des Betriebssystems. Selbst wenn NotPetya den MBR überschreibt, stellt Deep Freeze beim Start den eingefrorenen Zustand wieder her – denn die Änderungen wurden nur in den Redirect-Bereich geschrieben, nicht auf die eigentlichen Sektoren.
Die laterale Ausbreitung wäre ebenfalls gestoppt worden: Jeder Rechner mit Deep Freeze, der neu gestartet wird, ist wieder sauber – keine gestohlenen Zugangsdaten im Speicher, keine Hintertüren, keine Sprungbasis für weitere Angriffe.
Bei Maersk hätte statt eines wochenlangen Wiederaufbaus von 45.000 PCs ein koordinierter Neustart aller Rechner ausgereicht. Statt 300 Millionen Dollar Schaden: ein Arbeitstag Unterbrechung.
Die Lehre
- Supply-Chain-Angriffe umgehen jedes Vertrauen. Wenn der Schadcode über ein legitimes Software-Update kommt, hilft kein Virenscanner. Deep Freeze ist gleichgültig gegenüber der Herkunft einer Veränderung – es macht sie beim Neustart rückgängig, egal woher sie stammt.
- Wiper sind schlimmer als Ransomware. Bei Ransomware gibt es zumindest die theoretische Möglichkeit, durch Zahlung an die Daten zu kommen. Bei einem Wiper wie NotPetya sind die Daten unwiederbringlich verloren. Deep Freeze ist der einzige Schutz, der auch gegen Wiper funktioniert – weil es die Zerstörung einfach rückgängig macht.
- Sieben Minuten reichen aus. NotPetya brauchte bei Maersk nur sieben Minuten, um das gesamte Netzwerk zu übernehmen. Kein menschlicher Administrator und kein Virenscanner kann in dieser Zeit reagieren. Nur ein automatischer Mechanismus wie Deep Freeze kann nach dem Angriff sofort wiederherstellen.
- Legitime Tools als Waffen machen verhaltensbasierte Erkennung nahezu unmöglich. Deep Freeze muss kein Verhalten analysieren – es stellt einfach den bekannten guten Zustand wieder her.
- Glück ist kein Sicherheitskonzept. Maersk überlebte nur dank eines Stromausfalls in Ghana. Mit Deep Freeze brauchst Du kein Glück – Du brauchst nur einen Neustart.