Im Netzwerk Insider vor 20 Jahren: Sicherheit im Schatten der Wurmangriffe von 2003
05.12.23 / Dr. Markus Ermes
Vor 20 Jahren wurde im Netzwerk Insider über die Konsequenzen aus den 2003 stattfindenden Wurmangriffen, z. B. durch Slammer und Blaster, diskutiert. Dies umfasste verschiedene Aspekte und insbesondere die Frage: Wo soll die Sicherheit stattfinden? Wie sah es damals aus? Haben wir daraus gelernt?
Die Situation vor 20 Jahren
Vor 20 Jahren wurden die Auswirkungen aus einer Reihe von Würmern betrachtet, die sich 2003 in diversen Netzwerken ausgebreitet haben. Diese hatten es auf den MS SQL-Server und die MS Database Engine (MSDE) abgesehen und konnten innerhalb kürzester Zeit viele Systeme befallen.
Als Ursache wurden z. B. mobile Endgeräte von Technikern, doch auch von internen Mitarbeitern genannt. Und mobil hieß damals: Notebooks. Smartphones wie wir sie heute kennen waren damals noch gute 4 Jahre entfernt.
Jedoch wurde bereits darauf eingegangen, dass Server und Endgeräte besser voneinander getrennt werden sollten und dass ein Schutz vor solchen Ereignissen auf vielen Ebenen stattfinden muss, vom lokalen Virenscanner über die Firewall und IDPS bis hin zu NAC mittels IEEE 802.1X.
Haben wir die Lektion in den letzten 20 Jahren gelernt? Was hat sich geändert?
Die Situation heute
Sicherheit im Netzwerk folgt heute in den meisten Fällen den Empfehlungen von damals. Zonierte Netzwerke sind der Standard, und das Internet ist vom internen Netz meist über zwei Firewall-Stufen getrennt. Systeme, die aus dem Internet erreichbar sein müssen, sind in einer demilitarisierten Zone (DMZ) zwischen den Firewall-Stufen positioniert. Dafür kommen zentrale Firewalls zum Einsatz, und die zusätzliche Trennung von Management-Interfaces ist die Regel. Firewalls beherrschen jetzt üblicherweise auch IDPS-Funktionen. Und die Zugriffe auf Management-Interfaces sind über Sprungserver in Form von Terminalservern oder Virtual Desktop Infrastructure von einem direkten Zugriff durch Endgeräte entkoppelt.
Also alles gut? Nein, leider nicht! So, wie sich die Netzwerk-Sicherheit weiterentwickelt hat, haben sich auch die Angriffsformen weiterentwickelt. Moderne Ransomware und die zugehörigen Angreifer gehen geschickter vor und nutzen mittlerweile auch Techniken und Taktiken, die vor 20 Jahren höchstens Drei-Buchstaben-Organisationen vorbehalten waren.
Zwar hat sich die Technik und auch das Bewusstsein im Bereich der IT-Sicherheit weiterentwickelt, das ist bei der aktuellen Bedrohungslage allerdings auch dringend notwendig.
Fazit
Vor 20 Jahren haben einige schwerwiegende Infektionen mit Würmern viele Bereiche der Netzwerk-Sicherheit berührt, die wir heute besser machen als damals. Doch auch die Angreifer lernen immer wieder dazu. Es bleibt bei dem ewigen Katz- und Mausspiel zwischen Angreifern auf der einen und dem eigenen IT-Sicherheits-Team und deren Werkzeugen auf der anderen Seite.
