Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Nicht viel anders sieht es bei einem reinem Intranet-Server aus. Ein aktiver Angriff aus dem Internet, etwa durch den Conficker-Wurm, ist nicht möglich. Vor passiven Angriffen bleibt man jedoch nicht geschützt, beispielsweise durch das Aufrufen einer Webseite mit einem Bild, das für das Ausnutzen einer Sicherheitslücke präpariert wurde. Außerdem können Intranet-Server leicht durch ihre Clients angegriffen werden, wenn ein Client über einen USB-Stick mit Malware verseucht wurde. Das Risiko, erfolgreich angegriffen zu werden, ist auch bei einem Intranet-Server größer als das Risiko, dass der Server nach einem Update streikt.

Um das Risiko eines Serverausfalls nach einem Update zu minimieren, sollte man nur Fixes einspielen, die tatsächlich Security-Patches sind. Das ist längst nicht bei allen Updates der Fall. Generell sind alle Updates, die Microsoft als "critical" oder "important" eingestuft hat, Fixes für potenzielle Sicherheitslücken. Trotzdem gibt es Ausnahmen: Service Packs werden beispielsweise nach einer gewissen Zeit mindestens als "important" eingestuft. Das Einspielen eines kompletten Service Packs birgt jedoch immer das Risiko, dass Serveranwendungen anschließend nicht mehr korrekt arbeiten. Das gilt insbesondere für Anwendungen von Drittanbietern.

Auf Servern sollte man generell auf alle Updates verzichten, die als "optional" gekennzeichnet sind. Auf einen funktionierenden Server gehören nach dem Prinzip "never touch a running system" weder Microsoft Silverlight noch Updates für Internet Explorer oder Windows Media Player.

Insbesondere die HTML-Engine des Browsers ist, anders als die EU es gerne hätte und tiefer, als es für die Sicherheit gut ist, mit dem OS verwoben. Viele Serveranwendungen nutzen die HTML-Engine unsichtbar, etwa in ihren MMC-Verwaltungstools. Tauscht man die HTML-Engine aus, kann es zu gravierendem Fehlverhalten von Serveranwendungen kommen.

Problematisch sind Updates, die als "recommended" gekennzeichnet sind. Dahinter verbergen sich oft Updates für Help-File-Texte oder Änderungen von Sommerzeitregeln für einige Länder. Man sollte im Einzelfall überlegen, ob man das Update für sinnvoll hält oder nicht. Ändern sich beispielsweise die Sommerzeitregeln der Fidschi-Inseln, und man betreibt dort keine Server, so kann man das Update getrost auslassen, auch wenn durch das Einspielen kein Fehlverhalten zu erwarten ist.

Zusammenfassend lässt sich zum Thema Updates sagen, dass man alle sicherheitsrelevanten Updates einspielen sollte. Das bedeutet jedoch keineswegs, dass auf Servern alle Updates ungefiltert eingespielt werden dürfen. An einer manuelle Selektion geht kein Weg vorbei. Service Packs und andere über reines Bugfixing hinausgehende Updates haben auf Servern nichts zu suchen.

Themenseiten: Hacker, Microsoft, Security-Analysen, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Kommentar hinzufügen
  • Am 21. Februar 2009 um 11:32 von G. Junker

    "never touch a running system" ist seit midestens 10 Jahren tot.
    Bitte verbreitet nich auch noch diesen Unsinn von "never touch a running system". Dies galt in den Zeiten der Großrechner oder PC, als diese nicht vernetzt waren.

    Wir sehen heute, wie schnell Lücken ausgenutzt werden (oft schon am gleichen Tag). Wer nach dem Motto "never touch a running system" arbeitet, handelt grob fahrlässig.

    Für alle Softwarehersteller, welche Probleme mit Ihrer Software nach einem Update haben, haben ihre Hausaufgaben nicht gemacht.

    Kann ich ein Update wegen einer Software nicht einspielen, so ist der Softwarehersteller für Folgeschäden haftbar. Für mich ein Grund, die Software zu wechseln oder den Hersteller zu Änderungen zu zwingen, was leider nur langwierig und gerichtlich geht.

    Also liebe Redaktion, verbreitet nicht mehr so einen Unfug.

    "never touch a running system" ist seit midestens 10 Jahren tot.

    • Am 28. Februar 2009 um 18:57 von ossobussi

      AW: "never touch a running system" ist seit midestens 10 Jahren tot.
      Wer das glaubt hat anscheinend die Entwicklung 10 Jahre verschlafen !
      Hallo waky waky ! Sputnik an Erde : Bitte sich in der real existierenden Welt melden !

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *