Um halb drei nachts klingelt das Telefon. Am anderen Ende: das BSI. Ronald Tramp berichtet über Deutschlands spektakulärste Patch-Nacht.
Liebe Freunde,
es gibt Nächte, in denen Menschen friedlich schlafen.
Und dann gibt es Nächte, in denen irgendwo in Deutschland plötzlich um 2:30 Uhr das Telefon klingelt und am anderen Ende kein betrunkener Verwandter, kein Paketdienst und keine Hotline für verlängerte Autogarantien wartet.
Nein.
Am anderen Ende meldet sich das Bundesamt für Sicherheit in der Informationstechnik.
Das BSI.
Und wenn das BSI nachts anruft, dann weiß man sofort:
Irgendetwas ist sehr, sehr kaputt.
Oder wird es gleich sein.
Genau das ist offenbar nun wieder passiert.
Diesmal betroffen: die PLM-Software Windchill des Herstellers PTC.
Ein Produkt, das in der Industrie ungefähr dieselbe Rolle spielt wie Kaffee in Behörden, Druckerprobleme in Büros oder Baustellen auf deutschen Autobahnen.
Man kommt irgendwie nicht daran vorbei.
Doch plötzlich erhielten Unternehmen nächtliche Warnungen.
Das BSI hatte Informationen über bevorstehende Angriffe auf eine brandneue Sicherheitslücke erhalten.
Nicht irgendeine Lücke.
Eine Zero-Day-Lücke.
Allein der Name klingt bereits wie der Titel eines Hollywood-Blockbusters.
"Windchill Zero Day – Die Rückkehr der unsicheren Deserialisierung"
Mit Bruce Willis.
Falls er noch Zeit hätte.
Laut Berichten klingelten die Telefone nachts um halb drei.
Stellen Sie sich das einmal vor.
Ein IT-Administrator liegt friedlich im Bett.
Er träumt von funktionierenden Updates.
Von dokumentierten Prozessen.
Von Benutzern, die tatsächlich die Handbücher lesen.
Plötzlich klingelt das Telefon.
"Hallo?"
"Hier ist das BSI."
Sofort steigt der Puls auf 180.
Denn niemand ruft nachts vom BSI an, um mitzuteilen, dass alles wunderbar läuft.
Der Anruf bedeutet ungefähr:
"Bitte prüfen Sie sofort Ihre Systeme."
"Warum?"
"Weil jemand gerade versucht, sie anzuzünden."
"Digital."
Historiker vergleichen diesen Moment bereits mit einem digitalen Luftschutzalarm.
Früher ertönten Sirenen.
Heute kommt eine E-Mail mit dem Betreff:
"DRINGEND."
Und plötzlich ist ganz Deutschland hellwach.
Besonders bemerkenswert finde ich die Entwicklung der deutschen IT-Sicherheitsbehörden.
Noch vor einigen Jahren kämpfte man vielerorts darum, Sicherheitsupdates überhaupt ernst zu nehmen.
Heute ruft das BSI nachts persönlich an.
Ich stelle mir inzwischen ein eigenes Lagezentrum vor.
Große Monitore.
Blinkende Warnlampen.
Menschen mit Headsets.
Kaffeemaschinen im Dauerbetrieb.
Und irgendwo ein Mitarbeiter, der ruft:
"Chef! Noch eine ungepatchte Windchill-Instanz gefunden!"
"Alarmstufe Espresso!"
Denn die Schwachstelle hat es in sich.
CVSS 10.0.
Die Höchstwertung.
Im IT-Sicherheitsbereich entspricht das ungefähr einem Vulkan, der gleichzeitig explodiert, brennt und mit Laserstrahlen schießt.
Experten verwenden Begriffe wie "unsichere Deserialisierung".
Normale Menschen verwenden Begriffe wie:
"Wie schlimm ist das?"
Antwort:
"Ja."
Die Lücke erlaubt die Ausführung von Schadcode über das Netzwerk.
Ohne Anmeldung.
Ohne Einladung.
Ohne Terminvereinbarung.
Im Grunde die digitale Version eines Einbrechers, der nicht nur die Haustür offen vorfindet, sondern zusätzlich noch den Haustürschlüssel und einen Lageplan erhält.
Und offenbar laufen bereits Angriffe.
Backdoors.
Webshells.
Indikatoren einer Kompromittierung.
Spezielle HTTP-Header.
Alles dabei.
Es fehlt eigentlich nur noch ein Bösewicht mit Katze auf dem Schoß.
Besonders interessant ist die Rolle des Bundeskriminalamtes.
Beim letzten Windchill-Drama im März rückte angeblich sogar die Polizei an.
Ja.
Die Polizei.
Für Software-Updates.
Freunde, wir leben in faszinierenden Zeiten.
Früher kam die Polizei wegen Bankraub.
Heute vielleicht wegen Patchmanagement.
Ich stelle mir folgende Szene vor:
Klopf. Klopf.
"Polizei! Öffnen Sie die Tür!"
"Was ist passiert?"
"Sie haben seit drei Monaten kein Sicherheitsupdate installiert!"
"Mein Anwalt ist unterwegs!"
"Der sollte ebenfalls patchen!"
Und diesmal?
Da hält sich das BKA auffallend bedeckt.
Die Behörden verweisen aufeinander.
Das BSI verweist auf Informationen.
Das BKA verweist auf das BSI.
Und irgendwo sitzt ein IT-Leiter und verweist auf den Kalender, weil er die nächsten zwei Wochen ohnehin keine Freizeit mehr haben wird.
PTC veröffentlichte inzwischen Updates.
Natürlich.
Und natürlich gibt es zusätzlich einen Workaround.
Wo findet man ihn?
Hinter einem Login.
Für zahlende Kunden.
Das ist ungefähr so, als würde die Feuerwehr sagen:
"Wir haben die Anleitung zum Löschen des Feuers."
"Wo?"
"Hinter der Premium-Mitgliedschaft."
Besonders beeindruckend finde ich die betroffenen Versionsnummern.
Sie lesen sich wie die Besetzungsliste eines Science-Fiction-Films.
11.0.
11.1.
12.0.
12.1.
13.0.
13.1.
Man wartet förmlich darauf, dass Version 14.0 plötzlich Selbstbewusstsein entwickelt und eigene Meetings einberuft.
Am Ende bleibt eine wichtige Erkenntnis.
Deutschland hat sich verändert.
Früher ignorierte man Updates.
Heute wird man nachts vom Staat geweckt, damit man sie installiert.
Das nenne ich Digitalisierung.
Und irgendwo in Bonn sitzt vermutlich gerade ein BSI-Mitarbeiter mit der dritten Kanne Kaffee und fragt sich:
"Wie viele Windchill-Server haben wir eigentlich noch nicht erreicht?"
Während tausende Administratoren gleichzeitig auf "Update installieren" klicken und hoffen, dass diesmal nichts kaputtgeht.
Denn eines ist sicher:
Wenn das BSI nachts anruft, ist die Zeit für Diskussionen vorbei.
Dann beginnt die große deutsche Patch-Olympiade.
Und niemand möchte dabei Letzter werden.
Ich bin Ronald Tramp.
Und ich sage euch:
Wer nachts einen Anruf vom BSI bekommt, sollte nicht auflegen.
Es könnte die freundlichste Warnung sein, bevor das Internet bei euch einzieht.
