Wie sicher ist Windows noch?

Nach dem Vorfall mit Solarwinds Orion dass auch von Microsoft genutzt wird, stellt sich die Frage, als wie sicher Windows und Microsoft Produkte noch angesehen werden können.

Update: Das Thema ist noch nicht ausgestanden.

https://upload.wikimedia.org/wikipedia/commons/5/57/Blue_Screen_of_Death.png

Es wurden von mehreren kriminellen Organisationen (damit sind auch Geheimdienste gemeint) offenbar unabhängig voneinander verschiedene Malware Installationen bei Solarwinds vorgenommen. Was bei den Solarwinds Kunden damit verteilt wurde, dürfte immer noch unbekannt sein. Weiterhin stellt sich die Frage, ob es noch weitere Malware Installationen in den Solarwinds Produkten gibt, die bisher noch nicht bekannt sind. Solarwinds Orion wird von zahlreichen Behörden in den USA und vielen Unternehmen verwendet. Es kann letztlich nicht ausgeschlossen werden, dass über Solarwinds Orion auch Malware in diesen Institutionen und Unternehmen verbreitet wurde.

ETMicrosoft: Nach Hause!

In Hinblick darauf, dass Windows ständig nach Hause telefoniert und auch im Rahmen der Lizensierung/Aktivierung eine Internetverbindung zumindest zeitweise bestehen muss, verbleibt da in Bezug auf die Sicherheit ein ungutes Gefühl. Lt. Microsoft wurden zwar keine nachgelagerten Services kompromittiert, aber selbst wenn es nicht zu einer Kompromittierung der Solarwinds Anwender gekommen ist, dann zeigt der Vorfall ganz klar, dass dieses Risiko zumindest sehr real ist. Ein Angreifer könnte im Falle von Microsoft so theoretisch auch auf einmal weltweit sämtliche Windows Aktivierungen ausknipsen. Der Solarwinds Vorfall in Verbindung mit dem nach Hause Telefonieren und dem Lizenzkonzept führt unweigerlich zu einer Assoziation von Microsoft Produkten mit Russisch Roulette.

Es wäre auch im Interesse der nationalen Sicherheit der Bundesrepubik Deutschland, wenn Entscheidungen zu Betriebssystemen und Anwendungen in diesem Sinne einmal überdacht würden.

Was ist mit anderen Betriebssystemen?

Wer einen Linux Fileserver (z.B. Samba) für Windows Anwendungen nutzt, sollte sich nicht zu sicher fühlen, die Windows Clients können selbstverständlich auch Dateien auf Linux Fileservern verschlüsseln, sofern sie Zugriff darauf haben. Das gilt auch für Nextcloud, sofern auf den Windows Rechnern der Nextcloud Client installiert ist.

Was kann man tun?

Im Rahmen der Notfallplanung sollte eine Migration auf eine alternative Plattform (z.B. Linux) eingeplant werden. Sollte es doch einmal zu einer Kompromittierung von Microsoft kommen, dann ist das die einzige Chance, einer IT-Katastrophe zu entkommen. Es muss auch in Betracht gezogen werden, dass es Manipulationen an der Firmware der Mainboards gibt und somit die Malware eine Neuinstallation des Betriebssystems überlebt und dieses sofort neu infiziert. Es sollten im Stahlschrank entsprechend vorinstallierte Notebooks liegen, mit denen die Mitarbeiter zumindest die notwendigsten Arbeiten wieder durchführen können. Die bisherige Hardware muss dann entsorgt werden.

Die Anwendungen und Server sollten als Schattensystem z.B. bei einem Cloudanbieter vorinstalliert sein, so dass die wichtigsten Services in wenigen Stunden wieder in Betrieb genommen werden können. Hier sind natürlich webbasierte Anwendungen klar im Vorteil. SAP bei Amazon AWS ist heute auch nicht mehr exotisch, zumindest wenn man mit aktuellen SAP Produkten arbeitet.

Was kann man noch tun?

Es vergeht ja kaum noch eine Woche ohne Meldungen zu schweren Sicherheitsvorfällen, zuletzt hat es die Funke Mediengruppe und Forward Air (ein großes Logistik Unternehmen in den USA) erwischt. Die Microsoft Monokultur in Verbindung mit einem laxen Umgang mit der IT-Sicherheit fördert solche Vorfälle natürlich. So lange noch die Meinung in den Unternehmen vorherrscht "uns passiert das nicht", so lange wird das so weiter gehen. Die Umsetzung einer wirksamen Informationssicherheitsstrategie ist der einzige Weg, die Kronjuwelen (z.B. Firmengeheimnisse, Kundendaten, Verträge) zu schützen. Wenn solche Daten wegkommen, dann kann das durchaus zur Insolvenz führen.

Update

Die Sache ist offenbar noch lange nicht ausgestanden, Heise hat noch ein Update geliefert, dass ich Euch nicht vorenhalten möchte. Bleepingcomputers hat das Angriffsschema sehr schön dargestellt. Wobei die Frage "War das alles?" immer noch nicht abschließend beantwortet ist. Bei Malwarebefall liegt ein zentrales Problem vor, denn man kann nur die Anwesenheit von Malware beweisen, nicht jedoch deren Abwesenheit, denn

inaktive Malware ≠ keine Malware.

@Microsoft: Habt Ihr auch an die UEFI Firmware Eurer PCs gedacht? Wenn die Angreifer ihr Geld wert waren, dann haben die da für die Persistenz ihrer Malware gesorgt.