Das Ende der Nutzung von Windows 7 wird als eine Gelegenheit für Cyberkriminelle gesehen, aber es unterstreicht auch die Notwendigkeit effektiver Patching-Strategien, so Andrea Brock.
Ende der Nutzung von Windows 7
Am 14. Januar hat Microsoft sein Betriebssystem Windows 7 faktisch außer Dienst gestellt. Das bedeutet, dass das Technologieunternehmen nicht mehr verpflichtet ist, Sicherheitsupdates für diese weit verbreitete Software zur Verfügung zu stellen, wenngleich es eine Option für zahlende Kunden gibt, die sich für die erweiterten Sicherheitsupdates anmelden können.
Am
14. Januar 2020
findet wahrscheinlich das letzte Update für Windows 7 statt
Rechner mit ungepatchter oder nicht unterstützter Software wie Windows 7 sind anfälliger für Cyber-Angriffe, Viren und Malware. Deshalb raten Cyber-Sicherheitsexperten Millionen von Windows 7-Nutzern, ihr Betriebssystem aufzurüsten, denn rund 200 Millionen Computer sollen noch immer mit Windows 7 arbeiten.
Noch immer finden sich Sicherheitslücken in Windows 7,
auch wenn das Programm inzwischen mehr als ein Jahrzehnt alt ist. Im Januar 2020 warnte die nationale Sicherheitsbehörde der USA vor schwerwiegenden neuen Sicherheitslücken in Windows-Betriebssystemen, auch für Windows 7 und die neueste Version von Windows 10. Microsoft hat eine neue und möglicherweise letzte Aktualisierung für Windows 7 am 14. Januar 2020 vorgenommen.
Am 14. Januar hat Microsoft sein Betriebssystem Windows 7 faktisch außer Dienst gestellt. Das bedeutet, dass das Technologieunternehmen nicht mehr verpflichtet ist, Sicherheitsupdates für diese weit verbreitete Software zur Verfügung zu stellen, wenngleich es eine Option für zahlende Kunden gibt, die sich für die erweiterten Sicherheitsupdates anmelden können.
Am
14. Januar 2020
findet wahrscheinlich das letzte Update für Windows 7 statt
Rechner mit ungepatchter oder nicht unterstützter Software wie Windows 7 sind anfälliger für Cyber-Angriffe, Viren und Malware. Deshalb raten Cyber-Sicherheitsexperten Millionen von Windows 7-Nutzern, ihr Betriebssystem aufzurüsten, denn rund 200 Millionen Computer sollen noch immer mit Windows 7 arbeiten.
Noch immer finden sich Sicherheitslücken in Windows 7, auch wenn das Programm inzwischen mehr als ein Jahrzehnt alt ist. Im Januar 2020 warnte die nationale Sicherheitsbehörde der USA vor schwerwiegenden neuen Sicherheitslücken in Windows-Betriebssystemen, auch für Windows 7 und die neueste Version von Windows 10. Microsoft hat eine neue und möglicherweise letzte Aktualisierung für Windows 7 am 14. Januar 2020 vorgenommen.
Bekannte Sicherheitslücken
Microsofts Entscheidung, den Support für Windows 7 einzustellen, wird für Cyber-Kriminelle eine große Gelegenheit darstellen. Fehler in einer Software können von Cyber-Kriminellen für böswillige Zwecke ausgenutzt werden und sind oftmals ein wichtiges Angriffselement für die von Hackern verwendeten Tools und Techniken, um Zugang zu Netzwerken zu erhalten, um Daten zu stehlen
oder um Cyber-Erpressungen zu verschicken.
Hacker suchen nach so genannten Zero-Day-Schwachstellen - Fehler, die Softwareentwicklern und -anwendern unbekannt sind - und sind häufig in der Lage, bekannte Schwachstellen für ihre Zwecke auszunutzen. Das liegt daran, dass Software oft nicht auf dem neuesten Stand ist. Softwareanbieter
geben schnell eine Aktualisierung oder einen Patch heraus, wenn eine Schwachstelle erkannt wird, um das Problem zu beheben. Doch ungepatchte Systeme bleiben offen für Angriffe.
So nutzte 2017 das Schadprogramm WannaCry eine bekannte Schwachstelle in der Windows-Software, die als „Eternal Blue“ bekannt ist, für einen weltweiten
Lösegeldangriff. Obwohl einige Monate vor dem Angriff von WannaCry eine Korrektur für die Schwachstelle veröffentlicht wurde, infizierte die Malware hunderttausende ungepatchte Computer auf der ganzen Welt.
Microsofts Entscheidung, den Support für Windows 7 einzustellen, wird für Cyber-Kriminelle eine große Gelegenheit darstellen. Fehler in einer Software können von Cyber-Kriminellen für böswillige Zwecke ausgenutzt werden und sind oftmals ein wichtiges Angriffselement für die von Hackern verwendeten Tools und Techniken, um Zugang zu Netzwerken zu erhalten, um Daten zu stehlen oder um Cyber-Erpressungen zu verschicken.
Hacker suchen nach so genannten Zero-Day-Schwachstellen - Fehler, die Softwareentwicklern und -anwendern unbekannt sind - und sind häufig in der Lage, bekannte Schwachstellen für ihre Zwecke auszunutzen. Das liegt daran, dass Software oft nicht auf dem neuesten Stand ist. Softwareanbieter geben schnell eine Aktualisierung oder einen Patch heraus, wenn eine Schwachstelle erkannt wird, um das Problem zu beheben. Doch ungepatchte Systeme bleiben offen für Angriffe.
So nutzte 2017 das Schadprogramm WannaCry eine bekannte Schwachstelle in der Windows-Software, die als „Eternal Blue“ bekannt ist, für einen weltweiten
Lösegeldangriff. Obwohl einige Monate vor dem Angriff von WannaCry eine Korrektur für die Schwachstelle veröffentlicht wurde, infizierte die Malware hunderttausende ungepatchte Computer auf der ganzen Welt.
Gelegenheit wartet
Abgesehen von der Rolle nicht gepatchter Schwachstellen bei hochkarätigen Cyber-Angriffen wie WannaCry besteht das Problem weiter. Laut Gartner sind ungepatchte Systeme nach wie vor eine der Hauptursachen für Cyber-Sicherheitsverletzungen, wobei schätzungsweise 99 % der Schwachstellen zum Zeitpunkt des Vorfalls bekannt sind.
Jedes Mal, wenn eine Sicherheitslücke oder eine Schwachstelle aufgedeckt oder ein System-Update oder Patch veröffentlicht wird, sehen Cyber-Kriminelle dies als eine willkommene Gelegenheit an, erklärt der Mobilfunkbetreiber Verizon in seinem 2019 erschienen Bericht zur Untersuchung von Datenverlusten.
Hacker sind ständig auf der Suche nach Möglichkeiten, Schwachstellen zu Geld zu machen, entweder durch ausgeklügelte gezielte Angriffe auf Unternehmensnetzwerke und Websites oder durch ungezielte Angriffe, wie Phishing oder erpresserische Software.
In den letzten Jahren gingen einige der größten Datenverluste auf das Konto nicht gepatchter Schwachstellen. So führten beispielsweise 2017 veraltete Systeme zu dem gravierenden Datendiebstahl bei dem Finanzdienstleister Equifax. In jüngster Zeit musste Travelex seine Websites für mehr als zwei Wochen abschalten, da sie am Silvesterabend 2019 einem Angriff erpresserischer Software ausgesetzt waren, die Berichten zufolge im Zusammenhang mit einer bekannten Schwachstelle in der VPN-Software stand.
Abgesehen von der Rolle nicht gepatchter Schwachstellen bei hochkarätigen Cyber-Angriffen wie WannaCry besteht das Problem weiter. Laut Gartner sind ungepatchte Systeme nach wie vor eine der Hauptursachen für Cyber-Sicherheitsverletzungen, wobei schätzungsweise 99 % der Schwachstellen zum Zeitpunkt des Vorfalls bekannt sind.
Jedes Mal, wenn eine Sicherheitslücke oder eine Schwachstelle aufgedeckt oder ein System-Update oder Patch veröffentlicht wird, sehen Cyber-Kriminelle dies als eine willkommene Gelegenheit an, erklärt der Mobilfunkbetreiber Verizon in seinem 2019 erschienen Bericht zur Untersuchung von Datenverlusten.
Hacker sind ständig auf der Suche nach Möglichkeiten, Schwachstellen zu Geld zu machen, entweder durch ausgeklügelte gezielte Angriffe auf Unternehmensnetzwerke und Websites oder durch ungezielte Angriffe, wie Phishing oder erpresserische Software.
In den letzten Jahren gingen einige der größten Datenverluste auf das Konto nicht gepatchter Schwachstellen. So führten beispielsweise 2017 veraltete Systeme zu dem gravierenden Datendiebstahl bei dem Finanzdienstleister Equifax. In jüngster Zeit musste Travelex seine Websites für mehr als zwei Wochen abschalten, da sie am Silvesterabend 2019 einem Angriff erpresserischer Software ausgesetzt waren, die Berichten zufolge im Zusammenhang mit einer bekannten Schwachstelle in der VPN-Software stand.
Patching-Strategie
Hacker wissen, dass sie, sobald eine Schwachstelle aufgedeckt ist, nur über ein begrenztes Zeitfenster verfügen, um diese Schwachstelle auszunutzen. Eine schnelle Behebung von Schwachstellen führt also zu mehr Schutz. Doch angesichts des Umfangs von Software-Aktualisierungen und der möglichen Unterbrechung oder Reduzierung der Funktionalität kritischer Systeme durch Patches ist das Patchen nicht so einfach.
Cyber-Sicherheitsexperten empfehlen den Unternehmen Folgendes:
• Umsetzung einer Patching-Strategie, die Aktualisierungen nach Priorität ordnet
• Ausrichtung der Fehlerkorrekturen auf die größten Risiken des Unternehmens
• Priorisierung wichtiger Schwachstellen, sobald sie erkannt sind
• Erstellung eines Plans für die verbleibenden handlungsrelevanten Schwachstellen
• Nutzung aktueller, unterstützter Software auf ihren Systemen, soweit dies möglich ist
Es mag durchaus berechtigte Gründe dafür geben, warum einige Rechner und Geräte weiterhin alte oder nicht gepatchte Software verwenden. Doch zur Aufrechterhaltung der Cyber-Sicherheit sollten Entcheidungen zur Verwendung nicht unterstützter Software mit geeigneten Maßnahmen verknüpft werden, wie z. B. der Isolierung nicht unterstützter Systeme von anderen Netzwerken.
Hacker wissen, dass sie, sobald eine Schwachstelle aufgedeckt ist, nur über ein begrenztes Zeitfenster verfügen, um diese Schwachstelle auszunutzen. Eine schnelle Behebung von Schwachstellen führt also zu mehr Schutz. Doch angesichts des Umfangs von Software-Aktualisierungen und der möglichen Unterbrechung oder Reduzierung der Funktionalität kritischer Systeme durch Patches ist das Patchen nicht so einfach.
Cyber-Sicherheitsexperten empfehlen den Unternehmen Folgendes:
• Umsetzung einer Patching-Strategie, die Aktualisierungen nach Priorität ordnet
• Ausrichtung der Fehlerkorrekturen auf die größten Risiken des Unternehmens
• Priorisierung wichtiger Schwachstellen, sobald sie erkannt sind
• Erstellung eines Plans für die verbleibenden handlungsrelevanten Schwachstellen
• Nutzung aktueller, unterstützter Software auf ihren Systemen, soweit dies möglich ist
Es mag durchaus berechtigte Gründe dafür geben, warum einige Rechner und Geräte weiterhin alte oder nicht gepatchte Software verwenden. Doch zur Aufrechterhaltung der Cyber-Sicherheit sollten Entcheidungen zur Verwendung nicht unterstützter Software mit geeigneten Maßnahmen verknüpft werden, wie z. B. der Isolierung nicht unterstützter Systeme von anderen Netzwerken.
Cyber-Versicherung
Rechtzeitiges Patching bedeutet nicht nur eine gute Cyber-Hygiene, sondern ist auch eine elementare Maßnahme für ein gutes Risikomanagement. Cyber-Versicherer werden sich nach der Patching-Strategie eines Unternehmens erkundigen und wissen wollen, was zur Sicherung nicht unterstützter Systeme unternommen wird. Die Versicherungsnehmer sollten auch ihre Policen überprüfen, da einige Versicherer Ausschlüsse für Verluste aufgrund nicht unterstützter oder veralteter Systeme vornehmen.
Auch die Regulierungsbehörden schenken der Cyber-Sicherheit zunehmend mehr Aufmerksamkeit, und die Folgen für nicht gepatchte Systeme werden immer gravierender, was in Form von Bußgeldern, Betriebsunterbrechungen und Rufschädigung zum Ausdruck kommt. Für seinen Datenverstoß im Jahr 2017 wurde Equifax von den US-Regulierungsbehörden mit einer Geldbuße von 700 Millionen US-Dollar belegt,
und auch die US-Hotelgruppe Marriott musste im Vereinigten Königreich eine Geldbuße von 99 Millionen GBP hinnehmen, da es sich um einen Datenverstoß nach der Datenschutz-Grundverordnung der EU (DSGVO) handelte, dem eine ungepatchte Software zugrunde lag. Die DSGVO gibt den Regulierungsbehörden die Befugnis, Strafen von bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes eines Unternehmens zu verhängen.
Rechtzeitiges Patching bedeutet nicht nur eine gute Cyber-Hygiene, sondern ist auch eine elementare Maßnahme für ein gutes Risikomanagement. Cyber-Versicherer werden sich nach der Patching-Strategie eines Unternehmens erkundigen und wissen wollen, was zur Sicherung nicht unterstützter Systeme unternommen wird. Die Versicherungsnehmer sollten auch ihre Policen überprüfen, da einige Versicherer Ausschlüsse für Verluste aufgrund nicht unterstützter oder veralteter Systeme vornehmen.
Auch die Regulierungsbehörden schenken der Cyber-Sicherheit zunehmend mehr Aufmerksamkeit, und die Folgen für nicht gepatchte Systeme werden immer gravierender, was in Form von Bußgeldern, Betriebsunterbrechungen und Rufschädigung zum Ausdruck kommt. Für seinen Datenverstoß im Jahr 2017 wurde Equifax von den US-Regulierungsbehörden mit einer Geldbuße von 700 Millionen US-Dollar belegt, und auch die US-Hotelgruppe Marriott musste im Vereinigten Königreich eine Geldbuße von 99 Millionen GBP hinnehmen, da es sich um einen Datenverstoß nach der Datenschutz-Grundverordnung der EU (DSGVO) handelte, dem eine ungepatchte Software zugrunde lag. Die DSGVO gibt den Regulierungsbehörden die Befugnis, Strafen von bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes eines Unternehmens zu verhängen.
Weiter patchen
Die Einstellung des Supports für Windows 7 bedeutet eine geringere Cyber-Sicherheit für die Benutzer und ist eine offene Tür für Hacker. Viele Unternehmen haben die Gelegenheit zum Upgrade auf ein neueres Betriebssystem genutzt, aber diejenigen, die nicht unterstützte oder nicht gepatchte Software ohne entsprechende Kontrollen verwenden, setzen ihr Unternehmen einem unnötigen Risiko aus, das sich langfristig als kostspielig erweisen könnte.
Die Einstellung des Supports für Windows 7 bedeutet eine geringere Cyber-Sicherheit für die Benutzer und ist eine offene Tür für Hacker. Viele Unternehmen haben die Gelegenheit zum Upgrade auf ein neueres Betriebssystem genutzt, aber diejenigen, die nicht unterstützte oder nicht gepatchte Software ohne entsprechende Kontrollen verwenden, setzen ihr Unternehmen einem unnötigen Risiko aus, das sich langfristig als kostspielig erweisen könnte.
Mehr dazu
Melden Sie sich an, wenn Sie zukünftige Artikel aus der Reihe zum Thema Unvorhersehbarkeit und weitere Gedanken, Berichte oder Erkenntnisse dazu von QBE erhalten möchten.
Jetzt anmelden