Warten auf den nächsten Knall

Als WannaCry die Schlagzeilen beherrschte, fühlte sich so ziemlich jeder Hersteller dazu berufen, ein Statement abzugeben. Im Großen und Ganzen kann man die Kommentare in zwei Gruppen einteilen: Nicht zu patchen ist fahrlässig und „mit unserer Software/Hardware/Service/etc. wäre das alles nicht passiert. Ist das so? Man kann sich kaum vorstellen, dass Unternehmen wie ein Krankenhaus oder die deutsche Bahn keine Schutzsoftware im Einsatz hätten, Scharen von IT-Admins beschäftigen würden oder auch schon mal im großen Stil IT-Sicherheitsdienstleistungen einkaufen würden. Bei den betroffenen Organisationen waren die notwendigen Produkte und Services mit ziemlicher Sicherheit vorhanden, sie haben nur nicht gewirkt. Das bedeutet nicht, dass die Elemente funktional versagt hätten. Ob der Anti-Virus Scanner diese eine Mail durchgelassen hat oder nicht, spielt keine so große Rolle. Dieses Mal war eben Produkt A in seiner Erkennungsrate nicht optimal, die 5000 ähnlichen Mails des letzten Monats hat es dafür problemlos erwischt. Doch man kann es nicht oft genug sagen, darum hier noch einmal: Sicherheit ist ein Prozess. Der muss verstanden und auf alle Ebenen angewandt werden, von der Awareness der Mitarbeiter (nicht einfach-so-klicken!) über die Konfiguration der Firewall (nur Ports öffnen, die man wirklich braucht) bis hin zum Härten von Endgeräten, die spezielle Aufgaben haben (warum braucht eine Fahrplananzeige CIFS/SMB?)

Das ist alles nicht neu und darum hätte WannaCry eigentlich keine Chance haben dürfen, zumindest nicht in Deutschland und anderen hochentwickelten Industrienationen, wo es genug Wissen und Budget für IT-Sicherheit gibt. Aber nach wie vor wird IT-Sicherheit als unnötige Beschränkung der persönlichen und organisatorischen Freiheit gesehen. IT-Sicherheit lähmt und bremst und Deutschland sollte doch bitte bei der Digitalisierung ganz vorne mit dabei sein und nicht als Bedenkenträger agieren. Aber heute gibt es nun mal WannaCry und Carbanak und Dridex und nicht zuletzt die diversen Geheimdienste mit ihren ach so gut geschützten Exploit-Bibliotheken. Auch wenn es bremst und aufwändig ist: Heute ist mehr Sicherheit notwendig. Oder man akzeptiert die Lösegeldforderung, das ist auch eine Form der Risikobewältigung (Risk Acceptance im ISO-Jargon).

Kopfschütteln kann man eigentlich nur über den zweiten Vorwurf, das angeblich ach so nachlässige Patchen. Jeder, wirklich jeder Administrator weiß, dass er patchen muss. Wenn es denn funktionieren würde. Windows 7, dass bei WannaCry die meisten Infektionen aufwies, ist in dieser Hinsicht notorisch unzuverlässig. Der eingebaute Update-Mechanismus hakt oft, manche Updates werden gar nicht installiert, nach anderen funktioniert das System nicht mehr oder es gehen Einstellungen verloren. Man kann das alles beheben, aber es verzögert den optimalen Patchzustand. Andere Windows-Computer dürfen nicht gepatcht werden. Systeme in der Produktion vertragen entweder keine Neustarts oder der Hersteller der Steuerungssoftware verbietet Änderungen am Betriebssystem, weil dann die Zertifizierung erlischt. Was bei anderen Anwendungen wie Adobe Acrobat oder dem Flash Player schiefgehen kann, steht auf einem anderen Blatt. Und natürlich sind auch die Linux-Distributionen nicht ausgenommen, sie sind nur viel weniger verbreitet.

Was sollte man den CISOs von betroffenen und (diesmal) nicht betroffenen Organisationen raten? Das Gefährdungspotenzial ist real und jeder Tag setzt ihre Organisation neuen Angriffen aus. Auch wenn es zu Konflikten führt: Setzen sie ein angemessenes Sicherheitsniveau durch und verteidigen sie die Nebenwirkungen gegenüber Mitarbeitern und Management. Die nächste Ransomware kommt bestimmt.