Kommentar Von der WannaCry-Attacke war vor allem der britische Gesundheitsdienst National Health Service (NHS) betroffen. Der Angriff führte dazu, dass Menschen nicht mehr behandelt werden konnten, weil das Medizinpersonal keinen Zugriff mehr auf Patientenakten hatte. Das hätte verhindert werden können, wenn verantwortliche Entscheidungsträger Sicherheitslücken ernster nehmen würden.
Nach Angaben der britischen Innenministerin Amber Rudd sind zahlreiche Arbeitsplätze der Behörde noch mit Windows-XP-Rechnern ausgestattet. Das 2001 erschienene Betriebssystem wird offiziell von Microsoft seit 2014 nicht mehr mit Sicherheitsupdates unterstützt. Übrigens: Weder Linux noch macOS bieten einen derart langen Support. Firmen und Behörden konnten den XP-Support noch verlängern. Das kostete pro Rechner und Jahr allerdings einen Betrag von anfangs 200 Dollar. Ein Jahr später erhöhte Microsoft die Gebühr auf 400 Dollar.
Den kostenpflichtigen Support für Windows XP nahmen auch hierzulande Behörden und Unternehmen in Anspruch. Hierfür überwies beispielsweise der Deutsche Bundestag knapp 120.000 Euro an Microsoft. In den Niederlanden zahlte die Regierung für die Support-Verlängerung bis Januar 2015 sogar mehrere Millionen Euro.
Ein ähnliches Abkommen hat die britische Regierung mit dem Softwarekonzern aus Redmond abgeschlossen. Sie zahlte für die Support-Verlängerung um ein Jahr mindestens 5,6 Millionen Pfund (6,5 Millionen Euro). Darin enthalten waren nicht nur Sicherheitsupdates für Windows XP, sondern auch für Office 2003 und Exchange Server 2003. Großbritannien wollte damals nach eigenen Angaben alle Rechner im öffentlichen Sektor bis April 2015 umstellen. Das ist offenbar nicht gelungen.
Ob der kostenpflichtige Support für Windows XP noch möglich ist, ist unklar. Klar jedoch scheint zu sein, dass die betroffenen Unternehmen keine Sicherheitspatches für die Rechner eingespielt haben. Nur dadurch konnte sich WannaCry so schnell verbreiten. Sobald ein PC mit WannaCry, etwa über eine Phishing-Mail infiziert wurde, verbreitet sich der Schadcode über die von der NSA entdeckten und jahrelang geheimgehaltenen Windows-Schwachstellen CVE-2017-0144. Microsoft hatte die Lücken bereits im März geschlossen. Übrigens auch für das auf Windows XP basierende Windows Embedded POSReady 2009, für das der Konzern noch bis zum April 2019 Sicherheitsaktualisierungen ausliefert. Im April wurde bekannt, dass die NSA-Tools, die diese Schwachstellen ausnutzen, von Cyberkriminellen in Umlauf gebracht wurde.
Das Supportende von Windows XP hat Microsoft Jahre vorher angekündigt. Unternehmen wie Privatanwender konnten sich also sehr lange darauf einstellen. Trotzdem scheint es, als hätten die Warnungen bei vielen Verantwortlichen in Unternehmen und Behörden nicht gefruchtet. Immerhin war es möglich, den XP-Support offiziell zu verlängern, sodass entsprechende Systeme weiterhin Sicherheitsaktualisierungen erhalten haben. Dass von dieser Möglichkeit kein Gebrauch gemacht wurde, ist fahrlässig. Selbst wenn diese Möglichkeit nicht mehr besteht, was derzeit noch unklar ist, muss man die Verantwortlichen in den Unternehmen fragen, wie sie das Risiko des Weiterbetriebs ungeschützter PC-Systeme rechtfertigen.
Im Fall der britischen Gesundheitsbehörde hat dies vermutlich sogar Menschenleben in Gefahr gebracht. Fehlendes Geld sollte jedenfalls bei der Sicherheit kritischer Infrastrukturen keine Rolle spielen. Und das dürfte auch nicht der Grund sein. Schließlich baut die in Deutschland von WannaCry betroffene Deutsche Bahn in Stuttgart einen unterirdischen Bahnhof für mehrere Milliarden Euro. Da sollte auch für ein paar moderne und sichere PCs genügend Geld zur Verfügung stehen. Oder sind Prestige-Bauten wichtiger als Sicherheit?
Angesichts des Schadenpotentials von IT-Schwachstellen, das durch weiter fortschreitender Digitalisierung und anderen Entwicklungen wie IoT und Industrie 4.0 sich noch größer wird, muss das Thema IT-Sicherheit in den Unternehmen strategische Relevanz erhalten. Und außerdem sollten Regierungen dafür sorgen, dass ihre Geheimdienste gefundene Schwachstellen nicht für sich behalten, sondern dem Hersteller übermitteln. Nützlich wäre es sicher auch, den Menschen bereits in der Schule beizubringen, nicht auf jeden Link oder Anhang zu klicken.
P.S.: Zu guter Letzt sei noch der Hinweis gestattet, dass man mit einem simplen Registry-Trick Microsoft dazu überreden kann, für Windows XP weiterhin Sicherheitsupdates auszuliefern. Diese sind zwar offiziell nicht für die Desktop-Version des Betriebssystems gedacht, sondern auf das auf XP basierende Windows Embedded POSReady 2009. Aber der in der Redaktion befindliche Testrechner läuft damit seit dem Support-Ende von Windows XP 2014 einwandfrei.
Suchmaschinenoptimierung (SEO) ist ein zentraler Faktor für den nachhaltigen Erfolg im digitalen Wettbewerb. Sie generiert…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…
Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…
Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.