Innerhalb von 24 Stunden infizierte WannaCry über 200.000 Computer in 150 Ländern. Der geschätzte Schaden: 4 Milliarden US-Dollar. Die Lösegeldforderung? Lediglich 300 Dollar pro Computer. Das Bemerkenswerteste: Der Angriff hätte durch ein simples Microsoft-Update verhindert werden können, dass bereits zwei Monate zuvor veröffentlicht worden war. Diese Situation ist kein Einzelfall.
Der Mythos: „Ein Patch hätte uns geschützt“
Viele Entscheider sehen das Problem rückblickend als einfach: Hätten die Organisationen nur den Patch installiert, wäre alles gut gewesen. Was dabei oft vergessen wird: Die Realität ist leider komplexer.
Microsoft hatte die kritische Schwachstelle im SMBv1-Protokoll am 14. März 2017 geschlossen – zwei Monate vor dem Angriff. Das Update war als „Critical“ eingestuft. Dennoch blieben Hunderttausende Systeme ungepatcht. Die Gründe von damals sind auch heute noch aktuell:
- Krankenhäuser: Computer in Radiologen und Laboren laufen mit zertifizierten Betriebssystemversionen. Ein Update kann die regulatorische Zulassung gefährden.
- Produktionsumgebungen: Patches können funktionierende Anwendungen zum Absturz bringen. Die Kosten eines ungeplanten Stillstands übersteigen oft die wahrgenommene Bedrohung.
- 24/7-Betriebe: Es fehlen die Wartungsfenster, um Updates zu installieren.
- Personalmangel: In vielen Organisationen mangelt es an den Mitarbeitern, um Patches zeitnah zu testen und zu installieren.