Windows XP und Vista Update: Unerwartet, aber leider dringend nötig

16 Jun 2017

Diese Woche gab es eine Überraschung am Microsoft Patchday: Völlig unerwartet veröffentlichte der Software-Riese eine Aktualisierung für Windows XP...

Mehr >>

Diese Woche gab es eine Überraschung am Microsoft Patchday: Völlig unerwartet veröffentlichte der Software-Riese eine Aktualisierung für Windows XP und Vista. Bereits vor einigen Wochen, nach der massiven Attacke durch die Schad-Software WannaCry, hatte Microsoft auch für die veralteten Windows-Versionen ein Update veröffentlicht – obwohl der Support für XP und Vista eigentlich eingestellt ist. Jetzt gibt es einen neuen Patch, der weitere Sicherheitslücken schließt, die nach Angaben des Konzerns im Zusammenhang mit dem außerplanmäßigen Update entdeckt wurden.

Microsoft sah sich offenbar angesichts der gestiegenen Bedrohungslage nach der rapiden Ausbreitung von WannaCry zu diesem Schritt gezwungen und bestätigte ein „erhöhtes Risiko“ für Windows-Nutzer. Das Unternehmen rechnet scheinbar damit, dass Attacken wie WannaCry in Zukunft zunehmen und will seine Nutzer schützen – auch wenn es damit den eigenen Update-Grundsätzen widerspricht. Das ist lobenswert. Denn auch in Redmond weiß man, dass leider immer noch hunderttausende Rechner mit den veralteten Betriebssystemen aktiv sind und sich das auch in absehbarer Zeit nicht ändern wird – trotz aller Warnungen und Sicherheitsvorfälle.

Insbesondere für Unternehmen ist es mittlerweile dennoch unverantwortlich, weiter auf Windows XP oder Vista zu setzen. Ransomware wie WannaCry ist längst nicht die einzige Bedrohung, die durch die vielen inzwischen bekannten und noch nicht geschlossenen Sicherheitslücken entsteht. Die Alternative ist der Zukauf von außerordentlichem Support von Microsoft. Doch der ist teuer, und früher oder später wird man an einer Umstellung auf ein aktuelles Betriebssystem nicht vorbeikommen. Also warum diesen Schritt nicht beschleunigen? Sich darauf zu verlassen, dass Microsoft weitere Updates für XP und Vista veröffentlich, wäre ein großer Fehler.

Weniger >>

Wenn der Lebensretter zur Gefahr wird

09 Jun 2017

Stellen Sie sich vor, Sie erhalten folgende Nachricht: „Wir haben Ihren Herzschrittmacher gehackt. Zahlen Sie Summe X, um die Kontrolle...

Mehr >>

Stellen Sie sich vor, Sie erhalten folgende Nachricht: „Wir haben Ihren Herzschrittmacher gehackt. Zahlen Sie Summe X, um die Kontrolle zurückzuerhalten.“ Zur Bekräftigung der Forderungen erhalten Sie einen kleinen Stromschlag. Wer würde es da nicht mit der Angst zu tun bekommen? Und im Gegensatz zu „herkömmlicher“ Ransomware würden die Kriminellen es bei solch einem Hack vermutlich nicht bei dem lächerlichen Betrag von einem Bitcoin belassen, denn das eigene Leben dürfte den Opfern wohl ungleich mehr wert sein als verschlüsselte Daten. Ein undenkbares Horrorszenario, meinen Sie? Leider nein. Ein solcher Fall ist durchaus möglich, wie die Sicherheitsexperten von WhiteScope jetzt herausgefunden haben.


Mehr als 100.000 Herzschrittmacher werden in Deutschland jährlich implantiert. Je nach Belastung verbleibt das Gerät zwischen sechs und zehn Jahren im Körper des Patienten, bevor die Batterie leer ist und es ausgetauscht werden muss. In Cybersecurity-Jahren gerechnet ist das eine halbe Ewigkeit. Die meisten der heute eingesetzten Geräte lassen sich von außerhalb des Körpers durch ein externes Steuergerät programmieren, womit wir bereits bei einem der von WhiteScope identifizierten Probleme sind. Sieben Herzschrittmacher und die dazu passenden Programmier- und Steuereinheiten von vier Herstellern haben die Experten für die Studie geprüft – und sind schnell fündig geworden: Über 8.000 (!) Sicherheitslücken wurden identifiziert. 


Problem Nummer 1: Die genutzten Betriebssysteme sind völlig veraltet. So fanden die Sicherheitsforscher in den Steuereinheiten Windows XP, DOS und sogar OS2! 


Problem Nummer 2: Alle Hersteller setzen auf zugekaufte Programmbibliotheken von Drittanbietern, die aktuell gehalten werden müssen. Bei Herzschrittmachern ergibt sich dabei ein Problem. Der Drittanbieter muss die Aktualisierung der Bibliothek bereitstellen. Soweit klappt das meist noch, zumindest für einige Jahre. Dann muss der Hersteller des Schrittmachersystems seine Software aktualisieren und das Update ausliefern. Dann folgt Stufe drei: Die behandelnden Ärzte müssen das Update einspielen und ihre Patienten auf das Update aufmerksam machen, denn die haben oft auch zu Hause ein Überwachungsgerät. Zuletzt muss der Patient die Aktualisierung durchführen. Auf jeder dieser Stufen dürfte es zu Streuverlusten kommen. Wenn man zusätzlich das Alter vieler Herzpatienten bedenkt, stellt insbesondere die letzte Stufe ein Problem dar. 


Problem Nummer 3:Die Steuerungseinheiten verbinden sich automatisch mit den dazugehörigen Schrittmachern – und zwar mit allen Schrittmachern des Herstellers innerhalb der Reichweite. Ein Log-in mit einem Kennwort oder eine weitere Sicherheitsstufe ist nicht eingeplant. Entsprechende Geräte kann man problemlos für einen erschwinglichen Preis im Internet kaufen. Bei den meisten getesteten Geräten war lediglich eine gewisse räumliche Nähe nötig, um die Steuerungseinheit mit dem eigentlichen Schrittmacher zu verbinden – und bei einigen nicht einmal das. Denn sie tauschen ihre Daten mit einem Cloud-Speicher aus, über den eigentlich der behandelnde Arzt auf die Patientendaten zugreifen soll.


Noch ist kein Fall bekannt, bei dem ein Herzschrittmacher von Kriminellen gekapert wurde. Auch WhiteScope legt die Sicherheitslücken in seiner Studie nicht offen, um die Patienten zu schützen. Trotzdem zeigt der Fall eindrücklich, dass die Hersteller von Medizinprodukten dem Thema Cyber-Sicherheit noch nicht den nötigen Stellenwert einräumen. Sie müssen dringend dazulernen, um die Sicherheit ihrer Kunden nicht zu gefährden.

Weniger >>

Weitere Beiträge anzeigen