Conficker nicht zu stoppen: Warum er in Unternehmen wütet

Generell ist es schwierig, Server mit Windows NT 4.0 zu schützen. NT 4.0 findet sich bei Unternehmen noch recht häufig als Domain-Controller. So stellt Roger Halbheer in seinem Blog ernüchternd fest, dass ein Großteil der Anrufer bei der Microsoft-Hotline Server mit Windows NT betreibt, obwohl das OS bereits seit Ende 2004 in keiner Weise mehr supportet wird, und somit auch das Update MS08-067 nicht mehr für NT 4.0 angeboten wird.

NT 4.0 findet man heute in wesentlich mehr Unternehmen, als allgemein angenommen wird. Dazu gehören vor allem Großunternehmen. Das erklärt sich daraus, dass Microsoft mit Windows 2000 die Active Directory Services eingeführt hat, die von der Benutzerverwaltung her inkompatibel zum bisherigen Domainsystem sind, das noch aus der OS/2-LAN-Manager-Zeit stammt.

Größere Unternehmen haben seinerzeit viel Geld darin investiert, mit dem NT-Domänensystem eine Gesamtlösung für die Mitarbeiterverwaltung zu schaffen. In der Regel wird ein Mitarbeiter mit einem selbstentwickelten oder in Auftrag gegebenen Tool angelegt. Das Tool sorgt dafür, dass der Mitarbeiter in die verschiedenen, meist unabhängig gesteuerten EDV-Systeme, etwa die NT-Domäne, die Gehaltsbuchhaltung und das Zeiterfassungssystem, eingetragen wird.

Mit einer Umstellung auf Windows 2000 wäre neben einer Datenmigration auch eine teilweise Neuentwicklung hauseigener Verwaltungstools erforderlich gewesen. Da aber die ursprünglichen Investitionskosten über einen wesentlich längeren Zeitraum als fünf bis zehn Jahre abgeschrieben werden müssen, findet man zumindest auf Domain-Controllern häufig noch NT 4.0, zumal sich die Versionen ab Windows 2000 bis heute ohne Probleme in eine NT-4.0-Domäne integrieren lassen.

Die Hardwareprobleme von NT 4.0, wie fehlende USB-Unterstützung und Schwierigkeiten bei der Beschaffung von Gigabit-Netzwerkkarten mit NT-4.0-Treibern, lösen Unternehmen häufig durch Virtualisierung. Auch Sicherheitsprobleme, die daraus resultieren, dass NT 4.0 kein signiertes SMB-Protokoll beherrscht, nehmen Unternehmen in Kauf, da eine Migration zu Windows 200x mit hohen Kosten verbunden ist.

Generell lässt sich nur feststellen, dass ein Betrieb von NT-4.0-Servern auf die eine oder andere Art mit Kosten und Risiken verbunden ist. Gegen Malware wie Conficker gibt es keinen Schutz mehr von Microsoft. So steigt das Risiko, sich eine Malware einzufangen, faktisch von Tag zu Tag an. Einen effektiven Schutz kann man nur durch selbstprogrammierte Firewall-Regeln erreichen, die im Fall von Conficker alle RPC-Pakete an die GUID 4b324fc8-1670-01d3-1278-5a47bf6ee188 blocken. Solche Firewall-Regeln auf Layer-7-Ebene sind nur schwer zu realisieren. Sie erfordern zudem großes technisches Know-How und viel Zeit.

Bei allem Verständnis für die Gründe, die Unternehmen dazu bewegen, weiterhin NT 4.0 einzusetzen, muss man heute feststellen, dass für einen Umstieg zu Windows 200x zwar hohe Kosten anfallen können, jedoch keine Alternative zum baldigen Umstieg existiert. Ein Betrieb von NT 4.0 verbietet sich schon deshalb, weil mittlerweile genügend Schadsoftware existiert, die jedermann ohne besonderes Wissen nutzen kann, um sich auf einem NT-4.0-Server selbst zum Administrator zu machen. Patches gegen diese Lücken gibt es nicht mehr.