Nicht Updatefähig

Grafik: WannaCry/Wikimedia Commons/Roke - CC BY-SA 3.0

Es war die große Geschichte des Wochenendes: eine Ransomware namens "WannaCry" übernahm hunderttausende mit Microsoft Windows betriebene Computer auf der ganzen Welt, verschlüsselte die dort gespeicherten Daten und verlangte für eine Entsperrung Geld. Betroffen waren vor allem große Behörden und Unternehmen, unter anderem Telefonica, Renault, Deutsche Bahn, der britische National Health Service, FedEx, Nissan, PetroChina sowie Ministerien in Russland und Rumänien. Warum diese Organisationen nicht besser geschützt waren lässt sich von Aussen natürlich nur vermuten, eine Annahme drängt sich aber geradezu auf - sie sind nicht in der Lage Sicherheitsupdates einzuspielen, zumindest nicht ohne monatelange Vorlaufzeit.

Zum Kontext: nach allem was man weiss beruht WannaCry auf einer Software des amerikanischen Geheimdienstes NSA, die im April von einer Hacker-Gruppe gestohlen und veröffentlicht wurde. Zu diesem Zeitpunkt war diese Sicherheitslücke bei Microsoft bereits bekannt - schon im März wurde ein Sicherheitsupdate veröffentlicht, durch das diese Lücke geschlossen wurde. Mit anderen Worten: bereits seit zwei Monaten hätte sich das Problem durch ein einfaches Windows-Update beheben lassen. In all den oben genannten Unternehmen und Behörden ist das allerdings unterblieben.

Whoops. Foto vom Kollegen bekommen - Chemnitz Hauptbahnhof hat wohl ein Cryptolocker Problem. pic.twitter.com/IH5B5dyKvM

— Nick Lange (@Nick_Lange_) May 12, 2017

Um zu verstehen warum das so ist muss man wissen, dass viele Großorganisationen eingekaufte Standardsoftware stark modifizieren, damit sie mit den eigenen Systemen enger verzahnt werden kann. Single Sign ons, Zugriffe auf den Datei-Explorer, Beschränkungen des Web-Browsers oder Einbindung von Mail und Kalender in CRM-Prozesse erfordern zum Teil so tiefgreifende Eingriffe, dass wegen ihnen das Betriebssystem nicht mehr in der Lage ist Updates des Herstellers zu integrieren. Jedes mal wenn ein solches Update eintrifft muss es in langwieriger Anpassungsarbeit kompatibel gemacht werden. Und das ist noch der vergleichsweise harmlose Fall.

Oft sind die zuständigen IT-Abteilungen gar nicht mehr in der Lage derartige Anpassungen vorzunehmen, sei es aufgrund fehlender Ressourcen, sei es weil die Komplexität die Qualifikation der Mitarbeiter übersteigt, sei es aus anderen Gründen. Die Folge: in vielen Unternehmen und Behörden laufen die Computer mit stark veralteten und unzureichend gesicherten Software-Versionen, häufig noch immer mit Windows XP, in Extremfällen sogar mit Programmen aus den 90er Jahren. Vor diesem Hintergrund ist es nachvollziehbarer warum ein so veraltetes Programm wie WannaCry solchen Schaden anrichten konnte.

Letztendlich ist es eine neue, eher unbeachtete Dimension agiler Softwareentwicklung die hier zu Tage tritt: Agilität kann auch bedeuten, dass man in kürzester Zeit in der Lage sein muss kritische Hersteller-Updates einzuspielen. Ist das nicht möglich können unkalkulierbare Risiken die Folge sein.