· Mehdi Aroui · cybersecurity · 4 min read
NotPetya 2017: Supply-Chain-Lessons für KMU
NotPetya war kein gewöhnlicher Ransomware-Angriff, sondern ein staatlicher Sabotageakt mit weltweitem Kollateralschaden. Die Verschlüsselungsfehler waren damals Hoffnungsschimmer. Heute sind die Lehren daraus Pflichtlektüre für jeden KMU-Entscheider.
Historischer Kontext
Dieser Beitrag erschien erstmals im Juli 2017 mit einer technischen Beobachtung: Sicherheitsforscher von Positive Technologies hatten Implementierungsfehler in der NotPetya-Verschlüsselung gefunden, die für einige Opfer eine nachträgliche Datenrettung möglich machten. Das war damals gute Nachricht in einem ansonsten katastrophalen Vorfall.
Heute ist NotPetya aus zwei Gründen Pflichtlektüre: als erstes dokumentiertes Beispiel eines destruktiven Supply-Chain-Angriffs und als Warnung, dass “Ransomware” manchmal kein Lösegeld, sondern pure Sabotage bedeutet.
Was NotPetya war
Am 27. Juni 2017 begann ein Angriff, der sich anfangs wie Ransomware verhielt. Er forderte 300 Dollar in Bitcoin und versuchte den Eindruck zu erwecken, Daten seien wiederherstellbar. Das war er nicht.
Sicherheitsforscher und US-Regierung identifizierten NotPetya später als Werk der russischen Militärgeheimdienstes GRU, Einheit Sandworm. Das primäre Ziel war die Ukraine, der Kollateralschaden traf multinationale Unternehmen weltweit.
Einstiegspunkt: Die ukrainische Buchhaltungssoftware M.E.Doc erhielt ein kompromittiertes Software-Update. Unternehmen, die M.E.Doc einsetzten, wurden automatisch infiziert, ohne dass ein Mitarbeitender auf einen Link klicken musste. Das ist ein Supply-Chain-Angriff: Der Schadcode kam nicht über Phishing, sondern über legitime Software-Updates eines vertrauenswürdigen Anbieters.
Ausbreitung: NotPetya nutzte dieselbe EternalBlue-Schwachstelle wie WannaCry sowie Mimikatz, ein Werkzeug zum Auslesen von Windows-Zugangsdaten aus dem Arbeitsspeicher. Damit konnte sich NotPetya mit administrativen Rechten lateral durch das Netzwerk bewegen.
Schaden: Maersk verlor seine gesamte IT-Infrastruktur (45.000 PCs, 4.000 Server) und brauchte zehn Tage für die Wiederherstellung. Gesamtschaden: rund 300 Millionen Dollar. Merck, FedEx (TNT), Mondelez und andere meldeten ebenfalls Hunderte Millionen Dollar Schaden.
Die Verschlüsselungsfehler (damaliger Hoffnungsschimmer)
Positive Technologies fand 2017 zwei Schwachstellen in der NotPetya-Implementierung:
Ohne Administratorrechte: NotPetya verschlüsselte Benutzerdaten mit AES, hinterließ aber das System startfähig. Die Forscher fanden keinen Weg, diese Verschlüsselung zu knacken.
Mit Administratorrechten: Die Malware verschlüsselte die gesamte Festplatte mit Salsa20. Hier machten die Entwickler Fehler: Nur 128 der 256 Bit des Schlüssels wurden für die tatsächliche Verschlüsselung genutzt. Bekannte Klartextangriffe auf Windows-Partitionsdaten machten eine Entschlüsselung theoretisch möglich, für professionelle Forensik-Teams.
Die Empfehlung damals: Verschlüsselte Laufwerke aufbewahren und auf weitere Forschungsergebnisse warten. In der Praxis half das nur einem kleinen Teil der Betroffenen.
Supply-Chain-Lessons: Was KMU 2026 wissen müssen
NotPetya war der erste große Beweis, dass nicht nur Phishing und ungepatchte Systeme Einstiegsvektoren sind. Software-Updates von Drittanbietern können Schadcode transportieren.
Bekannte Supply-Chain-Angriffe nach NotPetya:
- SolarWinds 2020: Kompromittiertes Orion-Update infizierte US-Regierungsbehörden und Fortune-500-Unternehmen.
- Kaseya VSA 2021: RMM-Software als Angriffsvektor gegen Managed Service Provider und deren Kunden.
- 3CX 2023: VOIP-Software mit eingebettetem Schadcode.
Schutzmaßnahmen gegen Supply-Chain-Angriffe
Software-Inventar und Lieferantenrisiko: Welche Drittanbietersoftware läuft in Ihrem Netzwerk? Wer hat administrative Rechte? Netzleiter erstellt auf Anfrage ein vollständiges Software-Inventar via NinjaOne RMM.
Netzwerksegmentierung: NotPetya nutzte administrative Rechte zur lateralen Bewegung. Segmentierte Netzwerke (VLANs für Server, Workstations, Verwaltungssysteme) begrenzen die Ausbreitung erheblich.
Least Privilege: Mimikatz funktioniert, weil Windows-Zugangsdaten mit Administratorrechten im Arbeitsspeicher ausgelesen werden können. Minimale Rechte für alle Accounts, kein dauerhafter Domain-Admin-Einsatz, Protected Users Security Group.
Offline-Backup mit Immutable Storage: Maersk konnte seinen gesamten IT-Betrieb wiederherstellen, weil ein Administrator zufällig eine Offline-Kopie des Active Directory auf einem isolierten Gerät hatte. Ohne diese Kopie wäre die Wiederherstellung unmöglich gewesen. Veeam Hardened Repository oder Azure Blob Storage mit WORM-Option stellen sicher, dass Backups nicht vom Netzwerk aus gelöscht oder verschlüsselt werden können.
EDR statt klassischem Antivirus: ESET PROTECT mit EDR erkennt Mimikatz-Nutzung und lateral movement als Verhaltensanomalien, unabhängig davon, ob die ausführende Datei bekannt ist.
NIS2-Kontext
NotPetya wäre nach NIS2 ein meldepflichtiger Vorfall mit erheblichen Konsequenzen für die Geschäftsführung. Supply-Chain-Risikomanagement ist explizit in NIS2 Art. 21 verankert: Unternehmen müssen Risiken aus ihrer Lieferkette (Software, Dienstleister, Cloud) identifizieren und kontrollieren.
Fazit
NotPetya zeigte, dass destruktive staatliche Cyberoperationen echten wirtschaftlichen Schaden verursachen, auch für Unternehmen, die nicht das primäre Ziel waren. Für KMU sind die Lehren dieselben wie nach jedem großen Vorfall: Offline-Backups mit getesteter Wiederherstellung, Netzwerksegmentierung, minimale Rechte und EDR. Der Unterschied zwischen Maersk und den weniger bekannten Opfern war letztlich ein einziges Offline-Backup.
Backup-Audit, Netzwerksegmentierungsplanung oder NIS2-Gap-Analyse: Hotline 040 25 499 500.
