Newslitter

Everything. Literally.

I just WannaCry

Von Hendrik in Sonstiges am 22.05.2017


Die Ransomware "WannaCry" hat vor einer Woche die gesamte Welt sowohl in Angst und Schrecken versetzt, als auch in großen Teilen lahm gelegt. Dabei wären entsprechende Patches bereits seit März 2017 erhältlich gewesen und in den meisten Fällen automatisch installierbar gewesen. Zeit für eine erneute Abrechnung mit der Update-Faulheit der Menschen. Und Windows XP.


"WannaCry" hat auch vor den Steuer-PCs der Bahnanzeigen nicht Halt gemacht, wie dieses Foto zeigt (Copyright von @0xUID auf Twitter; https://twitter.com/0xUID/status/863356181842206723)
"WannaCry" hat auch vor den Steuer-PCs der Bahnanzeigen nicht Halt gemacht, wie dieses Foto zeigt (Copyright von @0xUID auf Twitter; https://twitter.com/0xUID/status/863356181842206723)

Software muss regelmäßig aktualisiert werden. Das ist eigentlich eine Binsenweisheit, die jedoch erst kürzlich wieder neue Aktualität erhalten hat: Mit der Ransomware "WannaCry". Was die Attacke so gravierend macht, ist die Schwachstelle, die sie ausnutzt. Anstelle hauptsächlich Privatrechner durch infizierte Email-Anhänge und malwareverseuchte Webseiten zu attackieren (was sie zusätzlich auch tut!), nutzte sie eine Schwachstelle in Windows-Dateifreigaben in einer Form, wie sie hauptsächlich in Unternehmen eingesetzt wird. Es handelte sich dabei um das SMB-Protokoll, was kennt, wer einen Server mit Linux-Betriebssystem betreibt und als Netzlaufwerk in eine Windows-Umgebung integrieren möchte — der dazu benötigte Dienst heißt Samba, oder, in Hipster-Schreibweise (ohne Vokale): SMB. Dessen erste Version, die bereits seit Windows Vista durch Version 2 ersetzt wurde, war auf den Windows-Betriebssystemen fehleranfällig. Linux-Systeme sind so gut wie gar nicht betroffen gewesen, da es sich nicht um einen inhärenten Fehler des Protokolls selbst handelt, sondern schlicht um einen Schreibfehler oder Ähnliches im Programmcode von Windows.

Soweit, so gut. Doch warum möchte ich weinen?

Ganz einfach: "WannaCry" hat mit einem Schlag die realen Konsequenzen aufgezeigt, mit denen zu rechnen ist, wenn man es mit einer Kombination aus Faulheit, technischem Unwissen und Ignoranz zu tun hat. Ich möchte in diesem Post verschiedene Probleme adressieren, die eigentlich hinlänglich bekannt sind, jedoch selbst von Systemadministratoren nicht konsequent umgesetzt werden, aber auch die Nutzer in die Pflicht nehmen.

1. Haltet eure Software auf dem aktuellen Stand!

Es hätte gar nicht zu oben zitiertem "Blutbad" weltweit kommen müssen, wenn alle Windows 7-Nutzer ihre Systeme regelmäßig auf dem aktuellen Stand gehalten hätten. Bereits seit März 2017 gibt es ein Update, welches alle Betriebssysteme automatisch gegen die Schwachstelle gesichert hat. Den Schadcode, den die Entwickler von "WannaCry" genutzt haben, und der von der NSA stammt, haben Hacker erst einen Monat später, im April, veröffentlicht. Und selbst dann, wie wir retrospektiv jetzt wissen, hätten die Nutzer noch einen Monat Zeit gehabt, sich gegen die Schwachstelle zu sichern. Hätten. Zwar gibt es immer wieder Situationen, in denen ein schnelles Updaten nicht möglich ist (beispielsweise in großen Unternehmensverbänden, in welchen Software nicht über die gängigen Methoden verbreitet werden kann), doch abgesehen davon, dass es dort die Aufgabe der IT-Abteilung ist, dafür zu sorgen, dass die Updates so schnell wie möglich eingespielt werden können, hätte sich der Schaden insbesondere für Privatpersonen eben durch regelmäßiges Updaten reduzieren lassen können.

2. Hört auf, Windows XP zu nutzen!

Zwar wurden fast ausschließlich Windows 7-Rechner mit WannaCry infiziert, jedoch möchte ich diese Gelegenheit nutzen, erneut darauf hinzuweisen, dass die Benutzung von allen Betriebssystemen älter als Windows 7 schlicht fahrlässig ist. Stein des Anstoßes für mich ist ein Artikel auf der Onlinepräsenz der FAZ, in welchem es heißt:

Es wäre vielmehr die Aufgabe der Softwarekonzerne, [den Nutzer*innen] die Updates so leicht und sicher wie möglich zu machen. Von dieser Kundenfreundlichkeit sind Konzerne wie Microsoft leider weit entfernt. Für das Betriebssystem Windows XP gibt es beispielsweise schon seit langem keine kostenlosen Updates mehr, nur anlässlich der Hackerattacke machte Microsoft nun eine Ausnahme. Wer sich jedoch dafür entschieden hat, das bewährte System weiterzubenutzen, musste entweder ein zusätzliches Sicherheitspaket kaufen – oder mit der Sicherheitslücke leben. Das kann man aus Microsofts Sicht kosteneffizient nennen, nutzerfreundlich ist es ganz und gar nicht. (auf S. 2 des Artikels)

Dieser Absatz fasst mit einem Schlag das Hauptproblem zusammen. Die Autorin ist der Überzeugung, wenn der*die Nutzer*in eben Windows XP weiter benutzen möchte, dann soll er*sie es eben auch dürfen. Wenn Microsoft dafür keine kostenlosen Sicherheitsupdates mehr zur Verfügung stellen will, hat Microsoft den Schaden zu verantworten. And that's where you're wrong.

Ich bekomme regelmäßig einen Herzkasper, wenn ich sehe, dass auf den Geldautomaten, die ich nutze, noch Windows XP läuft — und das sind gar nicht mal so wenige! Windows XP ist in der Tat nach der Katastrophe Namens Windows 2000 eine Wohltat gewesen: stabil, zuverlässig und weit verbreitet. Der Standard-Bildschirmhintergrund hat mittlerweile Kultstatus erreicht. Aber: Die Zeiten von Windows XP sind eben vorbei. Es war schön mit XP, aber wir leben im Jahr 2017, nicht mehr im Jahr 2007. Wir sind nicht mehr kurz vor der Vorstellung des ersten iPhone, sondern bei Generation 7 angelangt. Ebenso müssen auch Betriebssysteme irgendwann ihre Position einmal abgeben. Auch wenn das jetzt abgeschmackt klingt, aber alle guten Dinge sind irgendwann einmal vorbei.

Der Standard-Desktophintergrund von Windows XP. Eine Hommage-Gallerie gibt es auf https://imgur.com/gallery/KxRrO

Zudem kann man Microsoft hier definitiv keinen Vorwurf machen. Im letzten Jahr war es bis Ende August möglich, kostenfrei auf das aktuellste Windows-Betriebssystem Windows 10 zu updaten (gut, nicht für Unternehmen, aber immerhin für Privatpersonen). Das hat auch aus meinem Freundes- und Bekanntenkreis so gut wie niemand gemacht, selbst auf mehrmaligen Hinweis nicht. Man bekommt das Gefühl, dass Menschen den Spruch "Never change a running system" ernster nehmen, als die Systemadministratoren, von welchen er eigentlich stammt. Und das ist ein überdeutliches Zeichen, dass die meisten Menschen noch nicht in der Lage sind (bzw. sein wollen), mit Technik souverän umzugehen. Dabei sind alle Argumente für Windows XP hinfällig:

1. "Windows XP ist stabil!"

Nein. Windows XP war stabil. Windows 10 ist ebenso stabil. Windows 7 war spätestens mit Service Pack 1 ebenfalls stabil. Und, wir erinnern uns: Windows XP lief zum Schluss mit drei riesigen Service Packs. Drei!

2. "Ich kenne Windows XP!"

Das ist schön. Du kanntest auch dein altes Auto, bis es nicht mehr über den TÜV gekommen ist. Fährst du es noch? Offensichtlich nicht, da es nicht mehr erlaubt ist. Auch wenn es noch keinen Software-TÜV gibt, ist das längst kein Grund, Software anders zu behandeln, als das eigene Auto. Es ist absolut logisch für jeden, dass man kein Auto als "sicher" ansieht, welches schon vierzig Jahre alt ist und von diesen die Hälfte der Zeit ungepflegt in einem Hinterhof gestanden hat. Ebenso sollte man auch mit Software verfahren. Weder Windows XP noch ein uraltes Apple-Betriebssystem sind heute sicher oder zuverlässig. Auch wenn Windows XP gerade einmal etwas mehr als ein Jahrzehnt alt ist — in der schnelllebigen Computer-Welt sind das umgerechnet bestimmt schon über 100 Autojahre. Klar dauert eine Umgewöhnung seine Zeit, aber drum herum kommt niemand, und von daher ist es doch sinnvoller und kosteneffizienter, wenn man dies möglichst früh macht, oder?

3. "Meine Software läuft nicht auf Windows Vista/7/8/10!"

Das ist ein Argument, dass hauptsächlich aus Unternehmen stammt. Insbesondere Unternehmen jeder Größe, welche nicht hauptsächlich im technischen Gewerbe unterwegs sind, setzen noch viel zu oft auf Windows XP; ich habe noch im Kopf, dass Menschen vor wenigen Jahren noch teilweise Windows 98 eingesetzt haben! Das ist hier nicht nur der Fall, weil man nicht updaten möchte, sondern weil für ewig viel Geld Software eingkauft wurde, deren Upgrade auf eine neuere Version natürlich auch wieder Geld kosten würde. Weil aber die alte Software noch zuverlässig zu laufen scheint (keine so alte Software läuft heute noch wirklich zuverlässig; das ist mehr Schein als Sein), werden Ausgaben für moderne Alternativen gescheut. Dieses Phänomen ist übrigens mit dafür verantwortlich, dass Microsoft kein Windows 9 herausbringen konnte — es muss immer noch Abwärtskompatibilität mit Windows 95 und Windows 98 sichergestellt werden. Das ist etwas, wo man Microsoft nun wirklich keine Kunden-Schikane vorwerfen kann. Es ist sogar eher fahrlässig von Microsoft, den Kunden noch zu erlauben, derart alte Software laufen zu lassen.

Hier ist das Problem vornehmlich, dass Software natürlich oberflächlich immer gut läuft. Die Oberfläche tut immer das, was man ihr sagt, dafür wird sie ja von Fehlern bereinigt. Denn die Fehler auf der Oberfläche sieht man. Was nicht sichtbar ist, sind Fehler, die sicherheitsrelevant sind. Diese treten teilweise erst nach Jahren auf (bzw. werden bekannt). Beispiel "WannaCry": Um ein System zu infizieren, muss man mehrere infizierte Nachrichten in einer bestimmten Reihenfolge an das System schicken. Komm' da mal drauf.

Also: Es ist immer günstiger, bereits gekaufte Software entgeldlich upgraden zu lassen, als sich dann zum Schluss zu ärgern, dass die eigenen Geschäftsdateien alle verschlüsselt sind und freigekauft werden müssen.

4. "Der Prozess des Upgrades ist zu schwierig!"

Es ist zu schwierig, die Windows 7/10-DVD einzulegen, den (vollautomatischen) Setup-Prozess zu starten und zu warten, bis das neue System installiert ist? I beg your pardon. Das ist kein Argument — wird jedoch auch von der Autorin von oben zitiertem Artikel benutzt. Bereits seit besagtem Windows XP unterstützt Microsoft vollautomatisiert die Installation von Updates. Bei Windows 10 ist Microsoft sogar dazu übergegangen, die Nutzer zur Installation von Updates zu zwingen. Darüber regen sich interessanterweise auch enorm viele Menschen auf, was ich nicht verstehen kann. Zunächst jahrelang Updates zu verweigern, sich dann aber beschweren, wenn Microsoft den in dieser Situation einzig richtigen Schritt geht, ist eine Hybris sondergleichen. Natürlich brauchen wir uns nicht darüber zu streiten, dass es nicht nutzerfreundlich ist, dass ein frisch installiertes Windows 7 mit Service Pack 1 derzeit rund zwei Tage braucht, bis alle benötigten Updates installiert sind. Aber besser so als gar nicht, oder?

5. "Neuere Systeme sind doch eh nicht sicherer und haben andere, aber gleich schwere Probleme!"

Das mag sein. Jedoch möchte ich hier noch einmal anmerken, dass die Sicherheitsupdates für alle Windows-Versionen ab Vista aufwärts bereits seit März (!), also seit zwei Monaten (!!), zum Download zur Verfügung standen. Das heißt, dass jeder, welcher sein System regelmäßig aktualisiert, überhaupt nicht in die Gefahr einer Infektion gelangt ist. Denn die notwendige Software, die WannaCry erst möglich gemacht hat, wurde erst einen Monat später, im April, veröffentlicht. Und selbst von da an gab es, wie wir jetzt retrospektiv wissen, noch einen Monat Zeit, sein System zu sichern.

6. "Meine Hardware unterstützt keine aktuellen Windows-Versionen!"

Mit Windows 10 ist Microsoft dazu übergegangen, die alte Firmware (quasi das "Basis-Betriebssystem" eines jeden Computers) namens BIOS nicht mehr zu unterstützen und nur noch sogenannte EFI-fähige Rechner zu erlauben. Damit ist das Installieren von Windows 10 auf alten Geräten nicht möglich. Ist aber auch kein Argument, da es EFI bereits seit dem Jahr 2000 gibt. 2006 wurde bereits Version 2.0 veröffentlicht. Und Rechner, die älter sind und daher noch kein EFI unterstützen, gehören, wie oben angesprochenes Auto, eindeutig in die Altmetall-Sammlung. Meine Hochachtung dann jedoch vor derartigen Geräten, die es so lange funktionstüchtig ausgehalten haben — ein Gegenbeispiel gegen die oft angesprochene gewollte, kurze Lebensdauer technischer Geräte!

3. Backup, backup, backup!

Auch etwas, das wohl nicht oft genug angesprochen werden kann, ist der Ratschlag nach Backups. Denn wenn alle persönlichen Daten in regelmäßigen Abständen auf externen Speichermedien (natürlich nicht auf dem eigenen Rechner oder in der Cloud!) gespeichert werden, kommt WannaCry da natürlich auch nicht ran. Alle Speicherorte, auf die ihr von eurem Rechner jederzeit zugreifen könnt sind daher, logischerweise, nicht brauchbar für gute Backups. Immerhin, sehen wir es positiv: Externe Festplatten mit viel Speicherplatz sind günstig wie nie!

Fazit: Auch Technik braucht Pflege

Zum Abschluss bleibt zu sagen, dass auch Computer und Software ihre tägliche Dosis Pflege brauchen. Insbesondere, da wir alle andauernd mit ihr umgeben sind und sie mittlerweile essenziell nutzen, also nicht mehr ohne können, ist es enorm wichtig, sich mit seinem eigenen Arbeitsmaterial auseinander zu setzen. Niemand verlangt, irgendwelche kryptischen Skriptsprachen zu können oder Programme selbst schreiben zu können. Das tun ja bereits genügend Leute. Was nur notwendig ist, ist, sich darüber zu informieren, wie man die eigene Software aktuell hält und das auch zu tun. Klar können Updates ein furchtbarer "pain in the ass" sein, doch bei der Wahl zwischen den eigenen Forschungsergebnissen bzw. Geschäftsberichten auf seinem PC und Sicherheit sollte letzteres gewinnen. Wir schließen ja auch unsere Wohnung jeden Tag, wenn wir zur Arbeit fahren, ab, da wir potenziellen Einbrechern keine Chance geben wollen. Die gleiche Logik trifft auch auf Computer zu. Und so schwer bzw. zeitaufwendig ist das auch gar nicht. Folgende Checkliste sollte jeder von uns beruhigt abhaken können:

  • Ein aktuelles Betriebssystem nutzen (Windows 7+ oder macOS Sierra)
  • Entsprechende Hardware besitzen (und keinen zehn Jahre alten Laptop)
  • Updates automatisch installieren (oder mindestens sich informieren lassen und dann den Zeitpunkt der Installation zeitnah selbst bestimmen)
  • Programme, für die keine Updates mehr angeboten werden, deinstallieren und durch Alternativprodukte ersetzen
  • Einen guten Virenschutz haben (nicht (!) Antivir)
  • Immer regelmäßige Backups besitzen

Damit sind dann auch alle Daten maximal sicher vor jeder Ransomware, die vielleicht noch erdacht werden möge.


Sharing is caring :)