Slammer bei der Post

Aufregung am Dienstag vergangen Woche bei der Post. Am Nachmittag traten Störungen auf, was die IT-Verantwortlichen aufgrund erster Vermutungen dazu veranlasste, sämtliche Server herunterzufahren, um jedes Risiko auszuschliessen. "Dieser Entscheid war sicherlich unangenehm, weil Kunden teils keinen Zugriff zu ihren Konten hatten", analysiert Post-Sprecherin Liselotte Spengler im Nachhinein. Ob man die Entscheidung angesichts dessen, dass das Problem eher harmlos gewesen ist, bereue, sei jedoch reine Spekulation. Das "eher harmlose" Problem war der altbekannte und berüchtigte Slammer-Wurm, der im Februar unter anderem das Netzwerk an der Internet Expo in Zürich lahm legte und für den es schon seit einer halben Ewigkeit einen Patch gibt.

Das Wie

"Die Aussenkontakte und die rund 15'000 Workstations der Post sind gegen den SQL Slammer geschützt", weiss Spengler. "Der Wurm ist daher wahrscheinlich über einen der wenigen nicht standardisierten Arbeitsplätze hineingekommen, die bei der Post im Einsatz sind." Diese Arbeitsplätze werden unter anderem für die Entwicklung eingesetzt. "Dafür eignen sich die standardisierten Arbeitsplätze aufgrund ihrer Beschränkungen nicht."

Slammer befällt entgegen der allgemein gängigen Meinung nicht nur SQL-Server, sondern auch die Microsoft Desktop Engine, ein Datenbankmodul, das mit verschiedensten Microsoft-Applikationen geliefert wird.

"Der Vorfall ist vor allem deshalb unangenehm, weil zum ersten Mal Kunden betroffen waren. Sensible Systeme mit Kundendaten waren jedoch zu keinem Zeitpunkt gefährdet, weil diese Systeme vom Rest des Netzwerks abgekoppelt und nochmals speziell geschützt sind", so Spengler. Wie der SQLSlammer quasi von innen ins Netz kommen konnte, wird jetzt untersucht - und die notwendigen Massnahmen werden getroffen.

Das Warum

Für Security-Experten ist die Situation schwer einzuschätzen. "Ohne genaueste Kenntnisse der Situation bei der Post kann kein Mensch fundierte Aussagen dazu machen, was falsch gelaufen ist", so Daniel Senn, Geschäftsführer von Senn Data Security. "Jedoch, wenn wirklich der Slammer-Virus seinen Weg ins Post-Netzwerk gefunden hat, dann hat die Post mit dem Herunterfahren des Systems das einzig richtige gemacht. Nur so kann der Wurm entfernt werden. Unverständlich ist für mich aber, wieso die Slammer-Patches offenbar nicht eingespielt waren." Dieselbe Frage stellen auch andere Antivirenexperten. Ihnen ist unerklärlich, wie ein einzelner Client, mit dem der Wurm offenbar hineingeschleppt wurde, die Post dazu gebracht haben soll, das ganze System herunterzufahren.

Senn spricht in diesem Zusammenhang ein allgemeines Problem an: "Bei Virenvorfällen in Firmen liegt das Problem oft zuhause. Der Einsatz von mobilen Rechnern ist eine Riesenherausforderung für den Security-Verantwortlichen."

Zunahme komplexer Bedrohungen

Das erste Halbjahr 2003 förderte mehr als doppelt so viele neu entdeckte Viren und Würmer zu Tage wie die Vergleichsperiode des Vorjahres. Dies geht aus dem aktuellen Internet Security Threat Report von Symantec hervor. In der Beobachtungsperiode verzeichnete Symantec 994 neue Würmer und Viren, die das Windows-32-API nutzen. Symantec erwartet eine noch stärkere Verbreitung von Würmern - nicht zuletzt durch die zunehmende Nutzung von Instant-Messaging und Peer-to-Peer-Netzen. Weiter berichtet Symantec von 1432 neuen Schwachstellen, was einer Zunahme von 12 Prozent entspricht. 64 Prozent aller angegriffenen Schwachstellen waren dabei seit weniger als einem Jahr bekannt.
Eines der grössten Probleme ist die Zunahme komplexer Bedrohungen, wobei bösartiger Code in Zusammenhang mit der gezielten Ausnutzung von Schwachstellen gemeint ist. Rund 60 Prozent des im Beobachtungszeitraum gemeldeten bösartigen Codes sind solche komplexen Bedrohungen. Ausserdem spricht die Erhebung von einer weiteren Zunahme der Verbreitungsgeschwindigkeit. Beispiele dafür sind etwa der Slammer- oder der Blaster-Wurm. Für den Internet Security Threat Report hat Symantec mehr als 30 Terabytes an Daten analysiert. Diese Informationen kommen einerseits von über 500 Kunden der Managed Security Services und andererseits von 20'000 Sensoren, die die Netzwerkaktivitäten in mehr als 180 Ländern messen.