Am 15. Jänner 2016 vermeldete das Royal Melbourne Hospital, dass ein Computervirus tagelang die Verwaltung des Krankenhauses zum Erliegen gebracht habe. Schuld daran: Windows XP. Veraltete Systeme in der IT sind durchaus kein Einzelfall. Aber was tun?
Nur einige Tage später nach dem Vorfall im Royal Melbourne Hospital wurde bekannt, dass auch vier Atom-U-Boote der britischen Marine noch auf Windows XP zurückgreifen. Das britische Verteidigungsministerium beteuert durch deren Isolation jedoch die Sicherheit dieser. Beruhigend ist dies trotzdem nicht, da auch isolierte System immer öfter aus dem Internet erreichbar sind. Wie einfach man einen derartigen Exploit – also das Ausnutzen der Schwachstellen – in unter einer Stunde schreiben kann hat im November Klaus Gebeshuber in einem Workshop auf der Security Konferenz BSides in Wien vorgestellt. Er ist einer der IT-Security Spezialisten des Studienganges „IT & Mobile Security“, weitere Informationen inklusive den Slides finden Sie unter bsidesvienna.at/talks.
XP ohne Support
Am 8. April 2014 wurde der Support von Microsoft für Windows XP offiziell eingestellt. Die Folgen daraus waren auch die Einstellung von Sicherheitsupdates für dieses Betriebssystem. Daher werden auch keine Schwachstellen im System geschlossen und ausgenutzt. Zum einen ist der Umstieg auf ein neues System, vor allem bei Unternehmen, meist mit hohen Kosten verbunden. Zum anderen besteht bei einem neuen System in vielen Fällen der Bedarf nach Adaption von vorhandener Software. Werden diesen Aufwendungen jedoch die entstehenden Risiken – die nicht nur im Falle eines Atomzwischenfalls kritisch sein können, sondern auch schon bei Datendiebstahl weitreichende Folgen haben – übersteigt hier der Nutzen immer die Kosten.
Neue Software?
Für Privatpersonen gibt es an dieser Stelle, sofern das System die Anforderungen erfüllt, nur die Möglichkeit auf ein aktuelles Betriebssystem, wie beispielsweise Windows 10 aufzurüsten, um weiterhin wichtige Sicherheitsupdates zu erhalten. Andernfalls kann nur ein neuer Computer angeschafft werden.
In einem Unternehmen gibt es neben dem Upgrade auf Windows 10 noch die Möglichkeit direkt mit Mikrosoft einen kostspieligen Wartungsvertrag abzuschließen, um weiterhin den benötigten Support und Updates zu erhalten. Ob diese Möglichkeit der Aktualisierung des Systems vorzuziehen ist, ist jedoch sehr fraglich. Ein bekanntes Beispiel für einen derartigen Wartungsvertrag wäre die US-Marine.
Das Erkennen spezifischer Sicherheitslücken und deren Prävention zählt zum unter anderem zu den Hauptaufgaben von IT-Sicherheitsexpertinnen und -experten. Eine Expertise in diesem Bereich bietet unser Masterstudiengang IT & Mobile Security, mit dem Ziel die Zukunft sicherer zu gestalten, an.
Quellen:
http://www.theguardian.com/technology/2016/jan/16/trident-old-technology-brave-new-world-cyber-warfare
http://derstandard.at/2000029329900/Virus-legte-Windows-XP-Netz-in-Melbourner-Klinik-lahm
http://windows.microsoft.com/de-AT/windows/help/what-does-end-of-support-mean