Slammer zwingt das Netz in die Knie

EnterpriseSicherheit

Nur wer im Sommer gepatcht hat, ist sicher

Ein neuer Computerwurm hat am frühen Samstag Morgen weltweit Rechner lahmgelegt und die Datenübertragung im Internet massiv beeinträchtigt. Der Slammer-Virus, der inzwischen auch unter den Bezeichnungen ‘Sapphire’ oder ‘SQL Exp’ auftaucht, nutzt eine Sicherheitslücke in Microsofts SQL Server 2000, die seit einem halben Jahr bekannt ist. Seitdem bieten die Hersteller und Anbieter von Sicherheits-Software Patches an, die aber offenbar kaum aufgespielt wurden.

Die Krux liegt in der Art und Weise, wie der Microsoft SQL-Server mit seinen Daten umgeht. Die Sicherheitseinstellungen erlauben es einem Wurm wie Slammer, sich einzunisten und auf weiteren Systemen zu verbreiten. Dabei werden aber keine Dateien beschädigt oder gelöscht.

Weil Slammer nur in den Arbeitsspeicher wandert, kann er sich sehr effizient weiterverbreiten. Dadurch habe der Wurm sehr schnell sehr viel Bandbreite gefressen, heißt es beim Sicherheitsanbieter Neohapsis. Vor allem Internet-Serviceprovider in Asien mussten vor der Datenflut kapitulieren.

Der Fehler ist schon seit rund sechs Monaten bekannt. Deshalb sei Microsoft für die jetzigen Schäden nicht verantwortlich zu machen, heißt es von vielen Sicherheitsexperten. Und die Auswirkungen sind in der Tat beängstigend: Allein bei der Bank of America fielen am Wochenende 13 000 Geldautomaten aus. Die Nutzer des Online-Banking wurden darauf hingewiesen, dass es zu erheblichen Verzögerungen kommen könne, weil das Netz weiterhin überlastet sei.

Während viele Firmen ihre Datenbanken hastig vom Netz genommen haben, um Schäden zu begrenzen, dürften die Aufräumungsarbeiten intern noch Tage in Anspruch nehmen, meinen Security-Experten. Allerdings habe sich Slammer in seinen ersten zwei Stunden am schnellsten verbreitet, heißt es. Danach habe die Aktivität schnell abgenommen.

Zu Wochenbeginn erwarten die Experten des amerikanischen SANS Institute allerdings eine zweite Verbreitungswelle. Von schätzungsweise 120 000 IP-Adressen aus suche Slammer derzeit nach erreichbaren Systemen, die noch nicht infiziert sind, heißt es.

Slammer besteht aus nur 376 Bytes Code. Auch deshalb ist er so unglaublich schnell und konnte sich mit seiner ersten Welle flächendeckend und weltweit in weniger als einer Minute verbreiten.

Nach den Denial-of Service-Attacken auf die Domaine-Name-Server des Web im vergangenen Jahr hatten zahlreiche Fachleute darauf hingewiesen, wie verwundbar das Web inzwischen sei. Einige von ihnen fürchten inzwischen einen weltweiten Internet-Totalausfall über einen oder sogar mehrere Tage hinweg. Der drohende wirtschaftliche Schaden ist überhaupt nicht abzuschätzen.

Auch weil Slammer nun zumindest auf den betroffenen Servern keinen irreparablen Schaden angerichtet hat, sehen viele IT-Verantwortliche den Wurm als mahnendes Zeichen, mit dem sie stärkere Sicherheitsmaßnahmen durchsetzen können. Denn schließlich beherbergen SQL-Server ja Datenbanken, in denen meist Kundendaten abgelegt sind. Und diese Daten waren in allzu vielen Unternehmen schlecht geschützt – ein halbes Jahr lang.

silicon meint: Wieder ist eine Frage ungeklärt, und sie wird es vermutlich auch diesmal bleiben: Wer steckt hinter diesem digitalen Zerberus, der mit nur wenigen Zeilen Code wirtschaftlichen Schaden in Millionenhöhe anrichten kann? Warum tut jemand so etwas? Unter dem Eindruck eines drohenden Kriegs im Nahen Osten ist es sicherlich keine blinde Panikmache, wenn man die ungeklärte Frage nach dem Motiv überträgt: Warum sollte es denn auch für Hacker, Militärs und Politiker im Irak oder in Nordkorea kein erstrebenswertes Ziel sein, den großen Unternehmen in den westliche Industrienländern Schaden zuzufügen? Der verantwortungsbewusste Geschäftsführer oder CIO verdonnert seine Administratoren jetzt dazu, schleunigst alles Mögliche zur Gefahrenabwehr zu tun. Nur: Ob die Patches allein ausreichen werden, sei dahingestellt.

Ihre Meinung zum Thema ist gefragt: Schreiben Sie an redaktion@silicon.de