WannaCry: Armutszeugnis für betroffene Unternehmen und Organisationen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein.

Kommentar Von der WannaCry-Attacke war vor allem der britische Gesundheitsdienst National Health Service (NHS) betroffen. Der Angriff führte dazu, dass Menschen nicht mehr behandelt werden konnten, weil das Medizinpersonal keinen Zugriff mehr auf Patientenakten hatte. Das hätte verhindert werden können, wenn verantwortliche Entscheidungsträger Sicherheitslücken ernster nehmen würden.

WannaCry hat nach aktueller Zählung mehr als 180.000 PCs befallen (Screenshot: ZDNet.de)WannaCry hat nach aktueller Zählung mehr als 180.000 PCs befallen (Screenshot: ZDNet.de)

Nach Angaben der britischen Innenministerin Amber Rudd sind zahlreiche Arbeitsplätze der Behörde noch mit Windows-XP-Rechnern ausgestattet. Das 2001 erschienene Betriebssystem wird offiziell von Microsoft seit 2014 nicht mehr mit Sicherheitsupdates unterstützt. Übrigens: Weder Linux noch macOS bieten einen derart langen Support. Firmen und Behörden konnten den XP-Support noch verlängern. Das kostete pro Rechner und Jahr allerdings einen Betrag von anfangs 200 Dollar. Ein Jahr später erhöhte Microsoft die Gebühr auf 400 Dollar.

Windows XP: kostenpflichtige Support-Verlängerung

Den kostenpflichtigen Support für Windows XP nahmen auch hierzulande Behörden und Unternehmen in Anspruch. Hierfür überwies beispielsweise der Deutsche Bundestag knapp 120.000 Euro an Microsoft. In den Niederlanden zahlte die Regierung für die Support-Verlängerung bis Januar 2015 sogar mehrere Millionen Euro.

Ein ähnliches Abkommen hat die britische Regierung mit dem Softwarekonzern aus Redmond abgeschlossen. Sie zahlte für die Support-Verlängerung um ein Jahr mindestens 5,6 Millionen Pfund (6,5 Millionen Euro). Darin enthalten waren nicht nur Sicherheitsupdates für Windows XP, sondern auch für Office 2003 und Exchange Server 2003. Großbritannien wollte damals nach eigenen Angaben alle Rechner im öffentlichen Sektor bis April 2015 umstellen. Das ist offenbar nicht gelungen.

Ob der kostenpflichtige Support für Windows XP noch möglich ist, ist unklar. Klar jedoch scheint zu sein, dass die betroffenen Unternehmen keine Sicherheitspatches für die Rechner eingespielt haben. Nur dadurch konnte sich WannaCry so schnell verbreiten. Sobald ein PC mit WannaCry, etwa über eine Phishing-Mail infiziert wurde, verbreitet sich der Schadcode über die von der NSA entdeckten und jahrelang geheimgehaltenen Windows-Schwachstellen CVE-2017-0144. Microsoft hatte die Lücken bereits im März geschlossen. Übrigens auch für das auf Windows XP basierende Windows Embedded POSReady 2009, für das der Konzern noch bis zum April 2019 Sicherheitsaktualisierungen ausliefert. Im April wurde bekannt, dass die NSA-Tools, die diese Schwachstellen ausnutzen, von Cyberkriminellen in Umlauf gebracht wurde.

Sicherheitsupdate KB4012596 für Windows XP (Bild: Microsoft)Mit einem simplen Registry-Hack hätten auch XP-Rechner das im März für Windows Embedded POSReady 2009 zur Verfügung gestellte Update, das die für die WannaCry-Attacke genutzte SMB-Schwachstelle schließt, installiert werden können (Bild: ZDNet.de).

Fehlendes Sicherheitsbewusstsein

Das Supportende von Windows XP hat Microsoft Jahre vorher angekündigt. Unternehmen wie Privatanwender konnten sich also sehr lange darauf einstellen. Trotzdem scheint es, als hätten die Warnungen bei vielen Verantwortlichen in Unternehmen und Behörden nicht gefruchtet. Immerhin war es möglich, den XP-Support offiziell zu verlängern, sodass entsprechende Systeme weiterhin Sicherheitsaktualisierungen erhalten haben. Dass von dieser Möglichkeit kein Gebrauch gemacht wurde, ist fahrlässig. Selbst wenn diese Möglichkeit nicht mehr besteht, was derzeit noch unklar ist, muss man die Verantwortlichen in den Unternehmen fragen, wie sie das Risiko des Weiterbetriebs ungeschützter PC-Systeme rechtfertigen.

Im Fall der britischen Gesundheitsbehörde hat dies vermutlich sogar Menschenleben in Gefahr gebracht. Fehlendes Geld sollte jedenfalls bei der Sicherheit kritischer Infrastrukturen keine Rolle spielen. Und das dürfte auch nicht der Grund sein. Schließlich baut die in Deutschland von WannaCry betroffene Deutsche Bahn in Stuttgart einen unterirdischen Bahnhof für mehrere Milliarden Euro. Da sollte auch für ein paar moderne und sichere PCs genügend Geld zur Verfügung stehen. Oder sind Prestige-Bauten wichtiger als Sicherheit?

Angesichts des Schadenpotentials von IT-Schwachstellen, das durch weiter fortschreitender Digitalisierung und anderen Entwicklungen wie IoT und Industrie 4.0 sich noch größer wird, muss das Thema IT-Sicherheit in den Unternehmen strategische Relevanz erhalten. Und außerdem sollten  Regierungen dafür sorgen, dass ihre Geheimdienste gefundene Schwachstellen nicht für sich behalten, sondern dem Hersteller übermitteln. Nützlich wäre es sicher auch, den Menschen bereits in der Schule beizubringen, nicht auf jeden Link oder Anhang zu klicken.

P.S.: Zu guter Letzt sei noch der Hinweis gestattet, dass man mit einem simplen Registry-Trick Microsoft dazu überreden kann, für Windows XP weiterhin Sicherheitsupdates auszuliefern. Diese sind zwar offiziell nicht für die Desktop-Version des Betriebssystems gedacht, sondern auf das auf XP basierende Windows Embedded POSReady 2009. Aber der in der Redaktion befindliche Testrechner läuft damit seit dem Support-Ende von Windows XP 2014 einwandfrei.

Windows-Support-Ende (Screenshot: ZDNet.de)Das Support-Ende von Windows XP 2014 hatte Microsoft jahrelang angekündigt. Trotzdem setzen auch im Jahr 2017 Unternehmen und Organisationen noch das 2001 erschienene Betriebssystem ein, obwohl dieses gegen aktuelle Bedrohungen nicht geschützt ist (Screenshot: ZDNet.de).

Themenseiten: Ransomware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

13 Kommentare zu WannaCry: Armutszeugnis für betroffene Unternehmen und Organisationen

Kommentar hinzufügen
  • Am 15. Mai 2017 um 19:19 von Mike

    Wie wärs, wenn sich IT-Redakteure mal ein bisschen mehr in die Lebenswirklichkeit anderer Menschen hineindenken würden.

    Der frei zugängliche Patch für WinXP ist viel, viel zu spät von MS veröffentlicht wurden, der NHS ist ein chronisch unterfinanziertes Unterfangen, die haben definitiv keine Millionen für kostenpflichtige Updates und der Preis, den MS dafür verlangt, ist maßlos überzogen. Außerdem: Was macht man denn, wenn man ein MRT-Scanner für mehrere Millionen da stehen hat und die Software dafür läuft nur unter WIN XP? MRT-Scanner wegschmeißen?

    Der Hinweis von Microsoft, dass es keinen XP Support mehr gibt, führt auch nicht zu mehr Geld in der Geldbörse von z.B. Harz 4 Empfängern. Ganz zu schweigen von Leuten in Schwellen- und Entwicklungsländern.

    Außerdem gibt es jede Menge Leute da draußen, die sich der Gefahren nicht bewusst sind. Rentner zum Beispiel, die schon froh sind, wenn sie die Dinger bedienen können.

    Und der Zeitaufwand, den man in die Updates investieren muss, kann auch ganz schnell ganz erheblich sein – vor allem seit die Updateserver von Microsoft oft sehr träge reagieren. Es gibt Leute, die anderes zu tun haben, als ewig zu warten, bis mal der Updateserver reagiert.

    Interessanterweise kann MS ja durchaus die Kapazitäten sehr deutlich hochfahren.

    Beispiel: Reaktionsgeschwindigkeit in der Nacht 1 Tag nach Patchveröffentlichung (Schließen der von Google gemeldeten gravierenden Sicherheitslücke) katastrophal langsam. Ich hab nach 30 Minuten aufgegeben. Währenddessen hab ich jetzt am Wochenende tagsüber 10 Systeme in der VM aktualisiert bekommen, das dauert sonst selbst in der Nacht länger und die Updateserver standen am WE sicher unter Last. Anzeige der verfügbaren Updates nach wenigen Minuten … trotz VM. Seit es Windows 10 gibt, sind die Updateprozesse von WIN 7, 8 und 8,1 oft elendig langsam. Zufall? Wohl kaum.

    • Am 16. Mai 2017 um 9:57 von M@tze

      Dann auch mal bitte die andere Seite der Medaille sehen. Wie Sie schon sagen, „Und der Zeitaufwand, den man in die Updates investieren muss, kann auch ganz schnell ganz erheblich sein“. Eben! Auch auf Seite von MS ist der Aufwand erheblich, ein lange abgekündigtes Produkt weiter pflegen zu müssen. Die Entwickler, welche dafür abgestellt werden, wollen auch bezahlt werden, während Sie dafür MS keinen Mehrwert (Geld) generieren. MS ist nicht die Caritas, sondern eine AG – die müssen profitabel arbeiten, auch wenn mancher es nicht glaubt. Das hocken ja nicht 2 Inder im stillen Kämmerlein und pflegen XP bis ans Ende Ihrer Tage. Die Abteilung, welche das macht, muss dann von einem anderen Bereich mit querfinanziert werden. Dann zu sagen „Der frei zugängliche Patch für WinXP ist viel, viel zu spät von MS veröffentlicht wurden“ zeugt einfach nur von Unwissen. MS ist überhaupt nicht verpflichtet, da noch einen Patch zu liefern, der Support ist durch – das ist Goodwill von MS. Würde MS die User nicht „zwingen“ hochzurüsten, würden wir in 100 Jahren noch mit XP leben. Junge Neuzugänge von der Uni kennen sich mit dem alten Kram sowieso meist nicht mehr gut genug aus, um da helfen zu können. Ich arbeite selber in der Softwareentwicklung und weiß, welchen (auch finanziellen) Aufwand es bereitet, alte Produkte am Leben zu erhalten, nur weil der Kunde nicht gewillt ist auf eine neuere Version hochzurüsten (auch wenn das manchmal mit viel Arbeit verbunden ist). Wir machen das aber auch nur so lange, wie der Support noch läuft. Danach heißt es upgraden oder große Scheine einwerfen um weiter Patches zu bekommen. Wenn der MRT Scanner nur mit XP läuft und nicht ersetzt werden kann, muss er halt speziell abgesichert werden und darf nicht einfach so über das Netz erreichbar sein. Kostet halt…
      Dass ich für ähnlich alte Hardware keinen originalen Ersatz mehr beim Hersteller bekomme, ist komischerweise jedem klar. Wenn ich für meine 15 Jahre alte RISC Workstation Ersatz will, kann ich refurbished Hardware bei Unternehmen kaufen, welche sich darauf spezialisiert haben – zum 3-4 fachen des Originalpreises!!

    • Am 16. Mai 2017 um 12:32 von DoN

      Und Deine Lebenslange Zufriedenheit für eine Software die einmal (wenn überhaupt) vor 16 Jahren bezahlt wurde ist die Pflichtaufgabe von MS? Da soll also ein Unternehmen und deren Mitarbeiter ein Leben lang kostenfrei für Dich arbeiten?
      Genauso erwartest Du also, dass ein altes System Serverprioritäten vor einem aktuellen erhält? Natürlich würdest Du dann MS beschimpfen DEIN doch Topaktuelles OS nicht den alten Systemen vorzuziehen….
      „die Lebenswirklichkeit anderer Menschen…“ – WoW
      Nun soll also ein IT-Redakteur gefälligst aus der Sicht eines technikunafinen Rentners, der sowieso was besseres zu tun hat beurteilen?

      Oden den, welchen ich persönlich am besten finde: „Der Hinweis von Microsoft, dass es keinen XP Support mehr gibt, führt auch nicht zu mehr Geld in der Geldbörse von z.B. Harz 4 Empfängern.“ Dazu ein aufrichtiges Whoooot? Hä?, Du meinst also, MS wäre irgendwie (musste mal erklären) in der Pflicht, dafür zu sorgen, dass Harz IV Empfänger mehr Geld in der Tasche haben?
      Kannst Du mal erklären, WAS du glaubst, dass Microsoft ist? Mag sein, dass ich einfach deinem Text nicht den Inahlt deiner Gedanken dahinter entnehmen kann, aber für mich liest sich das, als hätte MS ein persönlicher Diener zu sein, der die Wohlfahrt in Schatten zu stellen hat sofern man mal ein MS-Produkt hatte.

    • Am 16. Mai 2017 um 16:50 von 123OhneName

      wie wärs mit MRT Scanner in eine DMZ schmeißen und Zugriffe ordentlich regelmentieren, kostete vielleicht mal nen 1000er mit Arbeitszeit, aber daran hängts ja dann meist.
      Weil wieso sollte man denn sowas bezahlen, „es lief doch bis jetzt immer“

  • Am 16. Mai 2017 um 9:51 von Kai Schmerer

    >der NHS ist ein chronisch unterfinanziertes Unterfangen
    Genau. Es wird nicht genügend in die IT-Sicherheit investiert. Das ist mein Kritikpunkt. Wenn ich mir den TÜV (Sicherheitsupdates) für mein Auto nicht leisten kann und ich ohne gültige Plakette rumfahre, laufe ich Gefahr, bei einem Unfall haftbar gemacht zu werden.
    >as macht man denn, wenn man ein MRT-Scanner für mehrere Millionen da stehen hat und die Software dafür läuft nur unter WIN XP
    Wenn ich ein Handy für 1 Millionen Euro kaufe und mir nicht gewährleisten lasse, dass die Freisprechfunktion auch in meinem neuen Auto funktioniert. Wer ist dann Schuld?
    >Außerdem gibt es jede Menge Leute da draußen, die sich der Gefahren nicht bewusst sind. Rentner zum Beispiel, die schon froh sind, wenn sie die Dinger bedienen können.
    Stimmt und ist eines meiner Argumente: Fehlendes Sicherheitsbewusstsein
    > VM. Seit es Windows 10 gibt, sind die Updateprozesse von WIN 7, 8 und 8,1 oft elendig langsam. Zufall?
    Das ist vermutlich kein Zufall.

    • Am 16. Mai 2017 um 12:04 von Klaus

      Berechtigte Kritik, und nun diese bitte auch bei jedem Android Smartphone unten als Erinnerung beifügen. Denn diese Punkte passen weitgehend auch auf die katastrophale Update Situation der Android Welt. Nur, dass da Bock (HW Hersteller) und Gärtner (Google) mit dem Finger aufeinander zeigen, wenn es um den Verantwortlichen geht.
      Und ja: der Kunde könnte das wissen, aber das ändert wenig daran, dass ihm unlautere Peodukte untergeschoben werden, die ab Kauf nicht mehr sicher sind.
      (Ich rede von Android Smartphones bis etwa 300€, wobei man auch darüber hinaus nur von wenigen Support und Updates erhält.)

      • Am 16. Mai 2017 um 12:17 von Kai Schmerer

        Völlig richtig. Wird auch immer mal von ZDNet.de thematisiert: http://www.zdnet.de/88272794/

        • Am 16. Mai 2017 um 12:46 von M@tze

          Völlig richtig? Nicht ganz. Wie im verlinkten Beitrag auch richtig dargestellt, patcht Google seine Schwachstellen relativ zeitnah und stellt die Patches den Hardware-Herstellern zur Verfügung. Wenn diese, bedingt durch die eigenen Anpassungen im System, aber ewig brauchen um diese für die eigenen Geräte verfügbar zu machen, kann man das nicht Google vorwerfen („Nur, dass da Bock (HW Hersteller) und Gärtner (Google) mit dem Finger aufeinander zeigen, wenn es um den Verantwortlichen geht.“). Und das sage ich als iOS User… Das soll ja in Zukunft mit Project Treble verbessert werden. Mal schauen, ob es was bringt.

          • Am 16. Mai 2017 um 13:13 von Kai Schmerer

            Es geht nicht um Google. Es geht darum, wie lange Android-Updates benötigen, bis sie, wenn überhaupt, auf den Geräten der Anwender landen. Hoffentlich hilft Project Treble diesen Prozess zu beschleunigen. Denn wie WannaCry zeigt, entscheidet die Zeit, bis ein Update beim Anwender landet, ob man infiziert wird oder nicht. http://www.zdnet.de/88296255/ (Link aus Kommentar entfernt, da zu lange:> https://goo.gl/)

          • Am 16. Mai 2017 um 16:25 von M@tze

            Eben, es geht nicht um Google – das habe ich doch gesagt. Klaus meinte aber, dass sowohl Google als auch die Hersteller schuld sind und jeder nur auf den Anderen verweist – was nicht richtig ist. Das haben Sie mit „Völlig richtig.“ bestätigt, was ich so nicht stehen lassen wollte. Anscheinend haben Sie aber nur den Teilaspekt „Hersteller“ gemeint, was aus dem vorhergehenden Kommentar (für mich) nicht so ersichtlich war. Das die Android Updatezyklen der Hersteller völlig daneben sind und sogar teilweise Neugeräte mit einem alten Patchstand ausgeliefert werden, ist einfach ein Unding und unterstützt solche Malware aktiv.

      • Am 16. Mai 2017 um 12:44 von DoN

        Und was hat das jetzt mit Windows zu tun? Dein persönlicher, in Gedenken an SJ, geführter Krieg gegen Android und Google (wundert mich, dass du nicht noch CopyCat Samsung ins Spiel gebracht hast) ist echt langweilig.

  • Am 16. Mai 2017 um 19:59 von Michael Schade

    Die entscheidende Sicherheitslücke sind in Bereichen mit kritischer Infrastruktur Benutzerrechte, die den jeweiligen Benutzern einfach nicht eingeräumt werden dürfen, wie z. B. der Empfang unzensierter externer e-Mails. So verfügt z. B. die Polizei in aller Regel über eigene, nach außen strikt abgeschirmte Netze, bei denen ein Internetzugriff nur soweit möglich ist, wie dass die jeweilige Behörde zulässt. So ist ein Empfang und das Öffnen suspekter Anhänge gar nicht erst möglich.

  • Am 31. Mai 2017 um 13:42 von fcp

    „Selbst wenn diese Möglichkeit nicht mehr besteht, was derzeit noch unklar ist, muss man die Verantwortlichen in den Unternehmen fragen, wie sie das Risiko des Weiterbetriebs ungeschützter PC-Systeme rechtfertigen.“

    Da muss ich wiedersprechen. Der Verantwortlichen hat bestimmt aufmerksam gemacht, aber wenn die höhere Etage keine Geld ausgeben wollen, um es lieber in die eigene Taschen zu stecken, kann man nichts machen.

    Ich selbst bin EDV-Verantwortlicher, und viele Kunden arbeiten mit 8,9, … Jahre alte PCs mit XP, Vista und 7, und obwohl die PCs langsam sind, und teilweise zusamengeflickt sind, damit 1-2 Wochen überleben bis man etwas neues liefern kann, wollen einfach nicht wechseln weil es Geld kostet und nehmen die Geschwindigkeit, Sicherheitsproblem und Defekten in Kauf bis es nicht mehr geht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *