WannaCry – Ich könnte heulen

Nein, keine Bange, mein Heulen hat nur indirekt mit dem zu tun, was grad die IT so beschäftigt.

Es geht zwar um den aktuellen Crypto-Wurm namens „WannaCry“, das ist schon richtig. Aber es soll nicht darum gehen, zum wiederholten Male Microsoft und die NSA an den Pranger zu stellen. Obwohl… Verdient hätten sie es ja. Der Eine schlampt bei seinen Produkten, der Andere merkt’s, sagt aber nix. Aber das ist nicht mein Thema hier.

Mir geht es mehr darum wie betriebsblind so mancher Administrator da draussen im Laufe der Zeit so wird und was man dagegen tun sollte.

Die Geschichte im Groben.

Da kommt man bei einem bekannten Sysadmin so an ein paar Windows-Maschinen vorbei und besieht sich so nebenbei den Update-Stand. Und staunt. Was sagt das Windows-Update da? „Updates wurden zuletzt gesucht und installiert Ende 2016!

Oha. Nicht schön. Also vormerken und den Kollegen mal fragen warum er das so lange nicht mehr gemacht hat.

Und weiter zur nächsten Maschine. Installiert im Jahre 2014. Patchstand: Wollt ihr raten? Ebenfalls 2014. Großartig. #nicht

Die Geschichte dahinter.

Offenbar sind die betreffenden Maschinen nur so nebenbei im Einsatz als Administrationsstation für andere Geräte. Also irgendwie nicht zwingend betriebswichtig. Also wurden sie auch nicht so ganz konkret in die Betriebsüberwachung und auch nicht in die Schublade „Dran denken“ einsortiert.

Ergebnis: Man benutzt die Maschinen immer mal wieder, aber niemand kümmert sich so richtig darum sie auf dem laufenden Stand zu halten.

Auf Nachfrage dann die Erklärung, warum das auch in Zeiten von Crypto-Trojanern ja auch gar nicht so wichtig sei: Die Maschinen stehen ja quasi alleine in den jeweiligen Netzwerksegmenten. Und natürlich abgeschirmt durch Firewalls.

Gut. Kann man so sehen. Muss man aber nicht.

Nur ein wenig weitergedacht.

Die Situation ist im aktuellen Stand natürlich stabil und im Risiko wirklich beherrschbar. Aber wird das damit automatisch immer so sein? Was, wenn ein anderer Administrator die Firewall versehentlich falsch konfiguriert? Oder ein externer Berater einen Laptop ins Netz hängt um die aktuellen Maschinen zu erfassen?

Was passiert wohl, wenn sich hierdurch ein Trojaner oder Wurm ins Netzwerk einschleicht? Er findet die nicht aktuellen Systeme und beginnt sich zu verbreiten. Auch das ist erst einmal noch beherrschbar. Was aber, wenn diese Maschinen über VPNs oder andere Netzwerkkoppelungen zu anderen Standorten verbunden sind?

Und ab da wird es ein Problem.

Der grundsätzliche Ansatz.

Im Kern darf man in der IT-Sicherheit Systeme niemals einzeln betrachten. Es geht immer um den Netzwerkverbund als Ganzes. Und in so einem Verbund muss man immer davon ausgehen, dass durch ursprünglich vorhandene Schwachstellen an anderer Stelle ein echtes Problem entsteht.

Der Ansatz muss immer sein: Wo immer man einzelne Systeme absichern kann, muss man das tun. Es ist nun einmal wie bei einer Kette. Die bricht immer an der schwächsten Stelle.

Der Ansatz kann also eigentlich nur sein, das gesamte System auf Eventualitäten abzuklopfen und nach bestem Wissen abzusichern.

Also haltet eure ganzen Systeme aktuell. Egal wie unwichtig sie auch erscheinen mögen.


Mein Autorenprofil bei Google
IT-Beratung - IT-Betrieb - Technologieberatung - IT-Risikobewertung - Vorträge und Weiterbildung zu IT-Themen