„Alarmstufe: Rot“ mit Steven Seagal in der Hauptrolle kam 1992 in die Kinos und begeisterte Action Fans auf der ganzen Welt. Skrupellose Terroristen entern ein Schlachtschiff der US Navy. Ihr Ziel ist es, dessen nukleare Sprengköpfe in ihre Gewalt zu bringen. Ein Mann stellt sich der Bande in den Weg und rettet die Welt: der Koch.
Würde der Film heute neu gedreht, müsste es etwas anders lauten: Skrupellose Terroristen entern weltweit Mailserver des Herstellers Microsoft. Ihr Ziel ist es, das gesamte E-Mail-Kommunikationssystem hunderttausender Firmen und Behörden weltweit in ihre Gewalt zu bringen. Einer stellt sich der Bande in den Weg: der Systemadministrator(m/w/d).
Was hier nach Cyberkrimi klingt, ist ernster, als es auf den ersten Blick scheint. Vor einigen Tagen wurde eine Albtraum-Sicherheitslücke in Microsofts Kommunikationsserver Exchange bekannt. Sie lässt sich ausnutzen, wenn der Server direkt über das Internet erreichbar ist – was für einen Mailserver jetzt nicht ungewöhnlich ist.
Nun kommen ein paar Dinge hinzu, die die Gefahr potenzieren. Nicht nur, dass hunderttausende Firmen und Behörden weltweit ihre Kommunikation über Exchange-Server abwickeln. Zudem wusste Microsoft seit dem 5.Januar von der Lücke, hat aber erst am 2. März Updates bereitgestellt. Dieser Patch konnte jedoch nicht von allen eingespielt werden, denn sie funktionierten (bis zum 08.März, dann wurde das geändert) nur, wenn das System selbst bereits brandaktuell war. Es mussten also erst alle vorherigen Updates eingespielt werden. Sie kennen das: Installiere Update 4 von 63 … bitte warten.
Und wenn Sie jetzt denken, das wars … von wegen. Das Schließen der Lücken reicht nämlich nicht. Sicherheitsfirmen berichten von verstärkten Aktivitäten unmittelbar nach Bekanntwerden der Lücke im Januar. Die Angreifer, eine dem chinesischen Staat nahestehende Hacker-Gruppe namens „Hafnium“, installierte auf zigtausenden Systemen noch schnell Hintertüren. Ihnen war klar, dass es bald ein Update geben würde. Über diese Hintertür haben sie auch nach dem Einspielen des Updates Zugriff auf die Systeme. Bildlich gesprochen: nur die Türe zu schließen, reicht nicht. Man muss auch das Haus Millimeter für Millimeter absuchen, dass sich da nicht schon einer versteckt. Experten rechnen mit einer nie dagewesenen Angriffswelle auf Informationen oder Lösegeldforderungen für verschlüsselte Systeme.
Aus all diesen Gründen ist nun etwas passiert, was wirklich selten der Fall ist. Das BSI, das Bundesamt für Sicherheit in der Informationstechnik, hat die „IT-Bedrohungslage rot“ ausgerufen. Und da soll noch mal einer sagen, IT-Sicherheit sei langweilig. Mal sehen, wer uns retten kann. Wo steckt eigentlich der Koch? Wird Zeit, dass die Kinos wieder öffnen. Popcorn, bitte!
Du hast gut lachen…. ich darf hier Systeme retten und die Leute beruhigen.
Warum eigentlich kann man für solche offenbar hausgemachten Softwarefehler, den Hersteller nicht in Haftung nehmen? Zumindest aber für die für Softwarelösungen extrem lange Verzögerung bei der Behebung des Mangels.
Ich kann mich doch auch nicht per AGB oder Vereinbarung bei meinen Kunden aus der Haftung nehmen. Bei Software ist wohl alles möglich. Zum Glück habe ich mich in meinen Unternehmen gegen den Exchange-Server entschieden.
Der Koch rettet dann die Welt mit E-Mail Chop Suey?
Bezüglich der Haftung ist das so eine Sache…
Haftet der Hersteller des Autos wenn es geklaut wird, weil irgend ein findiger Dieb herausfindet wie er den Schließmechanismus überlisten kann? – es ist ja nicht so dass das Produkt nicht die Features erfüllt die beworben wurden… „bulletproof security“ steht in keinem Marketing-Pamphlet und wird auch ganz sicher nicht beworben…
Und ob Fehler „hausgemacht“ sind oder nicht ist auch eine gute Frage… Wenn ich eine Statue meißele, und der Stein nach 100 Jahren aufgrund von irgendwelchen Einschlüssen, Witterung oder Materialproblemen bröckelt, habe ich dann den Fehler produziert?
Software besteht aus vielen tausend Puzzelsteinchen, Bibliotheken, APIs usw. – Ich möchte den Entwickler mal sehen der das alles überblicken kann und genau weiß wo, wann in welcher Kombination da irgend eine Sicherheitslücke entsteht…
Nicht dass ich ein Fan vom Exchange Server wäre, aber als Software-Entwickler muss ich auch mal klarstellen dass wir auch nur Menchen sind.
Monokulturen sind übrigens nie eine gute Idee – genauso wie ein Wald der nur aus einem Typ Baum besteht extrem anfällig ist gegen Schädlinge die sich auf diesen Pflanzentyp spezialisiert haben, genauso ist es aus Security-Betrachtungen eigentlich Unklug, quasi die gesamte Geschäftswelt von einer einzigen Produktsuite abhängig zu machen… wie das Enden kann sieht man ja… oder fragt mal Huawei wie toll die Ihre Abhängigkeit von Android fanden, bis Trumpp den Hahn zugedreht hat…