· Cybersecurity · 3 min read
WannaCry 2017: Patch-Management-Lektionen für KMU
WannaCry infizierte im Mai 2017 über 200.000 Systeme in 72 Stunden, ohne Klick, ohne Phishing. Nur ein fehlender Patch. Was KMU heute daraus ableiten müssen.
WannaCry 2017: Patch-Management-Lektionen für KMU
WannaCry war im Mai 2017 die bis dahin schnellste Ransomware-Ausbreitung in der Geschichte. Innerhalb von 72 Stunden waren über 200.000 Systeme in rund 150 Ländern infiziert. Die entscheidende technische Ursache: ein ungepatchtes Windows-System.
Was am 12. Mai 2017 passierte
WannaCry nutzte EternalBlue, einen NSA-Exploit, der von einer Hackergruppe namens Shadow Brokers im April 2017 veröffentlicht worden war. EternalBlue missbrauchte eine Schwachstelle im Windows-SMB-Protokoll (CVE-2017-0144, auch bekannt als MS17-010). Microsoft hatte den Patch bereits im März 2017 bereitgestellt.
Auf ungepatchten Systemen genügte Netzwerkkontakt für eine Infektion, kein Klick, keine Phishing-E-Mail. Betroffen waren Krankenhäuser (UK NHS), Telekommunikationsunternehmen (Telefónica), Logistik (FedEx) und Produktionsanlagen (Renault).
Ein britischer Sicherheitsforscher (MalwareTech) stoppte die Ausbreitung per Zufall durch Registrierung einer Kill-Switch-Domain. Das war keine geplante Gegenmaßnahme.
Drei Faktoren, die WannaCry so wirksam machten
Ungepatchte Systeme: Viele Organisationen betrieben Windows XP und Windows 7 ohne aktuelle Updates. In Produktions- und Klinikumgebungen war das die Norm, weil Wartungsfenster selten eingeplant wurden.
Keine Netzwerksegmentierung: WannaCry bewegte sich lateral durch flache Netzwerke. Eine infizierte Workstation erreichte Server, Drucker und andere Geräte ohne Hürde.
Backups auf verbundenen Laufwerken: Viele Betroffene hatten Datensicherungen auf Netzlaufwerken, die WannaCry mitcodierte. Das Backup war wertlos.
Was KMU heute konkret ableiten
Die technische Lehre aus WannaCry ist dieselbe wie aus jedem großen Ransomware-Vorfall: Angreifer nutzen bekannte Schwachstellen, keine Zero-Days. Der wichtigste Schutz ist konsequentes Patch-Management.
Patch-Management automatisieren: Kritische Patches (CVSS-Score 9 oder höher) sollten binnen 48 Stunden eingespielt sein. Tools wie NinjaOne RMM erkennen ungepatchte Systeme im Netzwerk, priorisieren nach Schweregrad und können Patches automatisiert ausrollen.
Netzwerksegmentierung einrichten: Server, Workstations, IoT-Geräte und Verwaltungssysteme gehören in separate VLANs. Ein befallenes Gerät erreicht dann nicht das gesamte Netzwerk.
Backup nach 3-2-1-Regel: Drei Kopien, zwei verschiedene Medien, eine davon offline oder offsite. Tägliche Snapshots mit getrenntem Offsite-Speicher. Ein Backup ohne regelmäßig getestete Wiederherstellung ist kein Backup.
EDR statt klassischem Antivirus: Moderne EDR-Lösungen erkennen Ransomware-typisches Verschlüsselungsverhalten und stoppen den Prozess, bevor alle Daten betroffen sind. Signaturbasierter Antivirus hätte WannaCry in den ersten Stunden nicht erkannt.
NIS2-Kontext: Jetzt mit Compliance-Relevanz
WannaCry wäre nach NIS2 (in Kraft seit Oktober 2024) ein meldepflichtiger Vorfall. Betroffene Unternehmen im Gesundheits- oder Energiesektor müssten binnen 24 Stunden eine Erstmeldung an das BSI absetzen. Fehler beim Patch-Management und bei Backups sind heute keine reine IT-Frage mehr, sondern Compliance-Risiken mit persönlicher Haftung der Geschäftsführung.
Lektionen zusammengefasst
| Schwachstelle 2017 | Gegenmaßnahme heute |
|---|---|
| Ungepatchte Systeme | Automatisiertes Patch-Management, kritische CVEs binnen 48 h |
| Flaches Netzwerk | VLAN-Segmentierung, Firewall-Regeln zwischen Zonen |
| Backups auf verbundenen Laufwerken | Offsite-Backup, tägliche Snapshots, quartalsweise Wiederherstellungstest |
| Signaturbasierter Virenschutz | EDR mit Verhaltensanalyse |
| Fehlende Notfallprozesse | Dokumentierter Reaktionsplan, definierte Ansprechpartner |
Techiota berät KMU beim Aufbau widerstandsfähiger IT-Infrastruktur: Patch-Management, Backup-Konzepte, Netzwerksegmentierung. Sprechen Sie uns an: techiota.de
Was ist EternalBlue? EternalBlue ist ein Exploit, der eine Schwachstelle im Windows-SMB-Protokoll ausnutzt (MS17-010). Ursprünglich von der NSA entwickelt, wurde er 2017 von der Hackergruppe Shadow Brokers veröffentlicht und ist seitdem Bestandteil mehrerer Ransomware-Varianten.
Hätte aktuelles Antivirus WannaCry gestoppt? Nicht zuverlässig. WannaCry nutzte in den ersten Stunden einen unbekannten Exploit. Klassischer Signatur-Antivirus hätte keine Signatur für EternalBlue gehabt. EDR mit Verhaltensanalyse hätte das Verschlüsselungsmuster erkannt.
Was tun bei einem aktiven Ransomware-Angriff? Sofort: betroffene Systeme vom Netzwerk trennen (Kabel ziehen oder WLAN deaktivieren), keine Zahlungen leisten, Wiederherstellung aus Backup einleiten und Vorfall dokumentieren. Keine Zahlungen leisten vor externer Beratung.
