WannaCry: Armutszeugnis für betroffene Unternehmen und Organisationen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein.

Kommentar Von der WannaCry-Attacke war vor allem der britische Gesundheitsdienst National Health Service (NHS) betroffen. Der Angriff führte dazu, dass Menschen nicht mehr behandelt werden konnten, weil das Medizinpersonal keinen Zugriff mehr auf Patientenakten hatte. Das hätte verhindert werden können, wenn verantwortliche Entscheidungsträger Sicherheitslücken ernster nehmen würden.

WannaCry hat nach aktueller Zählung mehr als 180.000 PCs befallen (Screenshot: ZDNet.de)WannaCry hat nach aktueller Zählung mehr als 180.000 PCs befallen (Screenshot: ZDNet.de)

Nach Angaben der britischen Innenministerin Amber Rudd sind zahlreiche Arbeitsplätze der Behörde noch mit Windows-XP-Rechnern ausgestattet. Das 2001 erschienene Betriebssystem wird offiziell von Microsoft seit 2014 nicht mehr mit Sicherheitsupdates unterstützt. Übrigens: Weder Linux noch macOS bieten einen derart langen Support. Firmen und Behörden konnten den XP-Support noch verlängern. Das kostete pro Rechner und Jahr allerdings einen Betrag von anfangs 200 Dollar. Ein Jahr später erhöhte Microsoft die Gebühr auf 400 Dollar.

Windows XP: kostenpflichtige Support-Verlängerung

Den kostenpflichtigen Support für Windows XP nahmen auch hierzulande Behörden und Unternehmen in Anspruch. Hierfür überwies beispielsweise der Deutsche Bundestag knapp 120.000 Euro an Microsoft. In den Niederlanden zahlte die Regierung für die Support-Verlängerung bis Januar 2015 sogar mehrere Millionen Euro.

Ein ähnliches Abkommen hat die britische Regierung mit dem Softwarekonzern aus Redmond abgeschlossen. Sie zahlte für die Support-Verlängerung um ein Jahr mindestens 5,6 Millionen Pfund (6,5 Millionen Euro). Darin enthalten waren nicht nur Sicherheitsupdates für Windows XP, sondern auch für Office 2003 und Exchange Server 2003. Großbritannien wollte damals nach eigenen Angaben alle Rechner im öffentlichen Sektor bis April 2015 umstellen. Das ist offenbar nicht gelungen.

Ob der kostenpflichtige Support für Windows XP noch möglich ist, ist unklar. Klar jedoch scheint zu sein, dass die betroffenen Unternehmen keine Sicherheitspatches für die Rechner eingespielt haben. Nur dadurch konnte sich WannaCry so schnell verbreiten. Sobald ein PC mit WannaCry, etwa über eine Phishing-Mail infiziert wurde, verbreitet sich der Schadcode über die von der NSA entdeckten und jahrelang geheimgehaltenen Windows-Schwachstellen CVE-2017-0144. Microsoft hatte die Lücken bereits im März geschlossen. Übrigens auch für das auf Windows XP basierende Windows Embedded POSReady 2009, für das der Konzern noch bis zum April 2019 Sicherheitsaktualisierungen ausliefert. Im April wurde bekannt, dass die NSA-Tools, die diese Schwachstellen ausnutzen, von Cyberkriminellen in Umlauf gebracht wurde.

Sicherheitsupdate KB4012596 für Windows XP (Bild: Microsoft)Mit einem simplen Registry-Hack hätten auch XP-Rechner das im März für Windows Embedded POSReady 2009 zur Verfügung gestellte Update, das die für die WannaCry-Attacke genutzte SMB-Schwachstelle schließt, installiert werden können (Bild: ZDNet.de).

Fehlendes Sicherheitsbewusstsein

Das Supportende von Windows XP hat Microsoft Jahre vorher angekündigt. Unternehmen wie Privatanwender konnten sich also sehr lange darauf einstellen. Trotzdem scheint es, als hätten die Warnungen bei vielen Verantwortlichen in Unternehmen und Behörden nicht gefruchtet. Immerhin war es möglich, den XP-Support offiziell zu verlängern, sodass entsprechende Systeme weiterhin Sicherheitsaktualisierungen erhalten haben. Dass von dieser Möglichkeit kein Gebrauch gemacht wurde, ist fahrlässig. Selbst wenn diese Möglichkeit nicht mehr besteht, was derzeit noch unklar ist, muss man die Verantwortlichen in den Unternehmen fragen, wie sie das Risiko des Weiterbetriebs ungeschützter PC-Systeme rechtfertigen.

Im Fall der britischen Gesundheitsbehörde hat dies vermutlich sogar Menschenleben in Gefahr gebracht. Fehlendes Geld sollte jedenfalls bei der Sicherheit kritischer Infrastrukturen keine Rolle spielen. Und das dürfte auch nicht der Grund sein. Schließlich baut die in Deutschland von WannaCry betroffene Deutsche Bahn in Stuttgart einen unterirdischen Bahnhof für mehrere Milliarden Euro. Da sollte auch für ein paar moderne und sichere PCs genügend Geld zur Verfügung stehen. Oder sind Prestige-Bauten wichtiger als Sicherheit?

Angesichts des Schadenpotentials von IT-Schwachstellen, das durch weiter fortschreitender Digitalisierung und anderen Entwicklungen wie IoT und Industrie 4.0 sich noch größer wird, muss das Thema IT-Sicherheit in den Unternehmen strategische Relevanz erhalten. Und außerdem sollten  Regierungen dafür sorgen, dass ihre Geheimdienste gefundene Schwachstellen nicht für sich behalten, sondern dem Hersteller übermitteln. Nützlich wäre es sicher auch, den Menschen bereits in der Schule beizubringen, nicht auf jeden Link oder Anhang zu klicken.

P.S.: Zu guter Letzt sei noch der Hinweis gestattet, dass man mit einem simplen Registry-Trick Microsoft dazu überreden kann, für Windows XP weiterhin Sicherheitsupdates auszuliefern. Diese sind zwar offiziell nicht für die Desktop-Version des Betriebssystems gedacht, sondern auf das auf XP basierende Windows Embedded POSReady 2009. Aber der in der Redaktion befindliche Testrechner läuft damit seit dem Support-Ende von Windows XP 2014 einwandfrei.

Windows-Support-Ende (Screenshot: ZDNet.de)Das Support-Ende von Windows XP 2014 hatte Microsoft jahrelang angekündigt. Trotzdem setzen auch im Jahr 2017 Unternehmen und Organisationen noch das 2001 erschienene Betriebssystem ein, obwohl dieses gegen aktuelle Bedrohungen nicht geschützt ist (Screenshot: ZDNet.de).

Themenseiten: Malwarebytes Cybersecurity, Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen: