IT-Sicherheit durch stetige Veränderung

Always change a running system

01.08.2016
Von Sven Malte Sopha und Jan Graßhoff

Veraltete IT-Systeme sind keine Randerscheinung

In der Realität funktionieren Updateprozesse oft nicht reibungslos. In einigen Fällen stellen Softwarehersteller Aktualisierungen gar nicht oder nicht zeitnah zur Verfügung. Spätestens, wenn ein Produkt den regulären Lebenszyklus verlässt, werden keine neuen Versionen mehr bereitgestellt. In anderen Fällen scheitert der Prozess auf Seiten des Betreibers eines Systems. Die Gründe dafür sind vielfältig: zu hohe Komplexität beim Aktualisierungsvorgang, ein fehlender Prozess, mangelndes Bewusstsein oder Kompatibilitätsprobleme, um nur einige zu nennen. Ein alltägliches Beispiel dafür sind die Router von privaten Internetanschlüssen. Dem Benutzer fehlen oft das Bewusstsein und die Kenntnisse, um seinen Router auf einem aktuellen Stand zu halten. Automatisch ablaufende Updateroutinen gibt es meist nicht, und so steht die Sicherheitskomponente des Netzwerks selbst ungeschützt im Internet. Heise etwa hat mit automatisierten Scans verwundbare Geräte in sechsstelliger Höhe gefunden und nennt die Lage "nach wie vor desaströs".

Sehr schnell reagieren mussten Administratoren auf die bereits angesprochene "Heartbleed"- Schwachstelle in OpenSSL. Hier führt ein Programmierfehler dazu, dass Angreifer verschlüsselte Kommunikation mitlesen können. Sicherheits-Experten wie Bruce Schneier bezeichneten die Auswirkungen der Schwachstelle als Katastrophe. In Anbetracht dieser Bedrohungslage sollte eigentlich davon auszugehen sein, dass Administratoren ihre Systeme zeitnah aktualisieren. Doch eine Studie der Cybersecurity-Firma Venafi aus dem Jahr 2015 zeigt, dass selbst zwölf Monate nach Bekanntwerden von Heartbleed der Großteil der öffentlich erreichbaren Server der 2.000 größten Unternehmen weiterhin verwundbar blieb.

Herausforderung Windows-XP-Ablösung

Plötzlich bekanntwerdende Sicherheitslücken stellen alle Organisationen, ob aus der Privatwirtschaft oder der öffentlichen Verwaltung, vor große Herausforderungen. Aber diese Herausforderungen kann es selbst dann noch geben, wenn der Handlungsbedarf schon seit langem bekannt und geplant ist. Als Beispiel sei hier das Ende des Supports für das Betriebssystem Windows XP genannt. Das bevorstehende Ende des Lifecycles wurde von Microsoft einige Jahre im Voraus angekündigt. Berichte der Fachmedien machen dennoch deutlich, dass große Organisationen ihre Schwierigkeiten mit der Umstellung von Windows XP auf Windows 7 hatten und haben. Mit entsprechenden Herausforderungen waren etwa auch der Deutsche Bundestag und die Berliner Landesverwaltung konfrontiert.

Die Lebenszyklen von Hard- und Software

Windows XP läuft aber nicht nur auf gewöhnlichen Rechnern, sondern auch auf speziellen Geräten mit besonderen Aufgaben, z.B. in der Medizintechnik. Ist der Lifecycle der Hardware aber länger als der der sie steuernden Software, laufen diese Geräte meist weiterhin mit einem veralteten Betriebssystem - und die neu entdeckten Sicherheitslücken der Software werden in diesen Fällen nicht geschlossen. Dabei spielt gerade in einem Bereich wie der Medizintechnik die Sicherheit eine ganz besondere, übergeordnete Rolle.

Bei Geldautomaten gestaltet sich die Situation ähnlich. Hier werden noch rund 95 Prozent der Systeme mit Windows XP betrieben. Wie Geräte in der Medizintechnik können auch Geldautomaten nicht ohne weiteres auf neue Versionen des Betriebssystems migriert werden. Während die Deutsche Kreditwirtschaft die fehlende Verbindung der Geldautomaten ins öffentliche Internet als Sicherheitsmerkmal ansieht - wodurch auf Windows XP basierende Geräte weiterhin sicher betrieben werden könnten - ist Kaspersky Labs der gegenteiligen Auffassung: Fast alle Geldautomaten seien wegen des veralteten Windows XP für Angriffe anfällig.