Warum zeitnahe Updates wichtig sind
WannaCry, NonPetya und eine Sicherheitslücke im Microsoft Word Equation Editor (CVE-2017-11882) sind nur drei Beispiele dafür wie Systeme angegriffen werden, welche nicht oder zu spät aktualisiert wurden.
Das Einspielen von Updates hat einen schweren Stand. Administratoren und IT-Verwantwortliche setzten lieber auf den altbekannten Spruch: „Never change a running system“ und wollen (vermeintlich) Nichts riskieren. Dass dies ein Trugschluss ist, möchte ich an drei Fällen aus dem letzen Jahr illustrieren.
WannaCry nutzte eine Sicherheitslücke in den Windows Betriebssystemen aus, um sich auszubreiten. Diese Sicherheitslücke war der Öffentlichkeit bereits bekannt und Microsoft stellte zwei Monate vor der Attacke Sicherheitsupdates bereit. Dennoch wurden innerhalb von wenigen Tagen über 300‘000 Computer mit dieser Schadsoftware infiziert. Auch 18 Monate nach dem ersten Auftreten sind noch über 630‘000 Geräte mit dieser Schadsoftware infiziert, wie die Auswertung von Logdaten zeigt.
Das Aktualisieren von Systemen führt zu Unterbrüchen (sofern die Infrastruktur nicht hochverfügbar ausgelegt ist), benötigt viel Zeit und kann neue Fehler verursachen. Daher wird das Einspielen von Updates als notwendiges Übel wahrgenommen und gerne auch vernachlässigt. Doch Updates sind grundlegende Sicherheitsmassnahmen!
Das Einspielen von Updates hat einen schweren Stand. Administratoren und IT-Verwantwortliche setzten lieber auf den altbekannten Spruch: „Never change a running system“ und wollen (vermeintlich) Nichts riskieren. Dass dies ein Trugschluss ist, möchte ich an drei Fällen aus dem letzen Jahr illustrieren.
WannaCry nutzte eine Sicherheitslücke in den Windows Betriebssystemen aus, um sich auszubreiten. Diese Sicherheitslücke war der Öffentlichkeit bereits bekannt und Microsoft stellte zwei Monate vor der Attacke Sicherheitsupdates bereit. Dennoch wurden innerhalb von wenigen Tagen über 300‘000 Computer mit dieser Schadsoftware infiziert. Auch 18 Monate nach dem ersten Auftreten sind noch über 630‘000 Geräte mit dieser Schadsoftware infiziert, wie die Auswertung von Logdaten zeigt.
Eineinhalb Monate nach der Aufregung um WannaCry schlug der nächste Schädling zu. Dieser Angriff ist unter vielen Namen bekannt, unter anderem NotPetya. Dieser Schädling nutzte nebst anderen dieselbe Sicherheitslücke, über die sich auch WannaCry verbreitete. Mehrere Unternehmen standen über Tage still und mussten zum Teil ihre IT-Infrastuktur neu aufbauen. Die Gesamtkosten dieses Angriffs summieren sich auf Beträge im Milliarden-Franken-Bereich.
Mitte Oktober 2017 veröffentlichte Microsoft ein Update für eine uralte Komponente in Microsoft Word: Word Equation Editor. Wenige Tage nach dem Veröffentlichen dieses Updates gelang es Angreifern die Schwachstelle mittels Reverse Engineering zu lokalisieren und Schadprogramme dafür zu schreiben. Seither finden täglich Versuche statt, mittels manipulierter Word-Dokumente (welche per E-Mail versendet werden) Schadprogramme auf Computern zu platzieren. Alleine unser Anti-Spam und Anti-Malware Gateway (SmartIT Managed SecureMail) identifiziert täglich bis zu zehn manipulierte Word-Dateien, welche auf diese Lücke abzielen. Dies hat sich im Januar 2019 noch nicht geändert
Durch das Einspielen von Updates hätte der Schaden verhindert oder zumindest abgeschwächt werden können (NotPetya nutzte mehrere Verbreitungswege und wäre deshalb nicht komplett gestoppt worden). Diese drei Beispiele zeigen unter anderem zwei Trends auf: 1. Schadsoftware kann sich vermehrt automatisiert von einem Computer zum nächsten verbreiten (Lateral Movement) 2. Nach dem Veröffentlichen von Updates dauert es nur wenige Tage, bis Angreifer Lücken rekonstruieren und ausnutzen. Wer bis zu diesem Zeitpunkt die Updates nicht einspielt, kann infiziert werden.
Um mit den zu Beginn genannten Problemen beim Einspielen von Updates (Unterbrüche, Aufwand und Fehler nach dem Update) umzugehen, gibt es Strategien. Beispielsweise indem geschäftskritische Systeme hochverfügbar ausgelegt, Vorgänge automatisiert und Updates getestet werden.
Wichtig ist, dass Systeme zeitnah aktualisiert werden. Eine geschlossene Lücke kann nicht angegriffen werden. Und das nicht nur dem eigenen Unternehmen zuliebe, sondern jedem Teilnehmenden im Internet. Häufig werden nämlich infizierte Systeme für die Weiterverbereitung genutzt.
Update vom 4. Februar 2019.
1. Veröffentlichung dieses Beitrags: 11. Juli 2018.
Update vom 4. Februar 2019.
1. Veröffentlichung dieses Beitrags: 11. Juli 2018.