Zotob (DaimlerChrysler)
Ein Windows-Wurm erschien nur Tage nach dem Patch — und stoppte 13 US-Autowerke von DaimlerChrysler.
August 2005: Microsoft schliesst eine kritische Windows-2000-Lücke. Doch viele Firmen patchen langsam — auch Rechner in Produktionsnetzen.
In 30 Sekunden
Im August 2005 schloss Microsoft eine kritische Lücke im Plug-and-Play-Dienst von Windows 2000. Nur wenige Tage später verbreitete sich der daraus gebaute Wurm Zotob selbstständig durchs Internet. Er traf Medienhäuser wie CNN, ABC und die New York Times — und die Industrie: Bei DaimlerChrysler stoppten 13 US-Werke die Produktion, rund 50'000 Arbeiter standen still. Der Fall zeigte, dass das Zeitfenster zwischen Patch und Wurm auf Tage geschrumpft war und dass ungepatchte Büro-Rechner direkt die Produktion treffen können.
Was geschah
2005
Zotob hatte kein bestimmtes Ziel: Der Wurm befiel wahllos ungepatchte Windows-2000-Rechner. Getroffen wurde jede Firma, die solche Rechner im Netz erreichbar hatte — auch in Werks- und Produktionsnetzen.
Der Angriffsweg
- 9. August 2005: Microsoft veröffentlicht einen als kritisch eingestuften Patch für eine Lücke im Plug-and-Play-Dienst von Windows 2000 (Sicherheitsbulletin MS05-039).
- Nur wenige Tage später bauen Kriminelle daraus den Wurm Zotob, der sich ohne Zutun der Benutzer selbstständig von Rechner zu Rechner verbreitet.
- Zotob gelangt in Firmennetze und sucht dort automatisch nach weiteren ungepatchten Windows-2000-Rechnern.
- Befallene Rechner werden instabil und starten immer wieder neu — ganze Netzbereiche werden dadurch unbrauchbar.
- Weil Büro-IT und Werksnetze vielerorts kaum getrennt sind, erreicht der Wurm auch Rechner in der Produktion: Bei DaimlerChrysler stehen 13 US-Werke still.
- Die mutmasslichen Täter in Marokko und der Türkei werden binnen rund zwei Wochen gefasst.
Auswirkung
Bei DaimlerChrysler stoppten 13 US-Werke die Fahrzeugproduktion — laut Berichten für rund 50 Minuten, teils länger; rund 50'000 Arbeiter waren betroffen. Auch andere Autozulieferer sowie zahlreiche Firmen wie CNN, ABC, die New York Times, General Electric oder UPS kämpften mit befallenen Rechnern. Physisch wurde nichts beschädigt, doch jeder Produktionsstopp kostete bares Geld.
So schützt du dich
Fakten
- August 2005
- Wurm Zotob (Windows 2000)
- Plug-and-Play-Dienst, Patch MS05-039
- nur wenige Tage
- DaimlerChrysler (13 US-Werke), CNN, ABC, New York Times u. v. m.
- rund 50 Minuten, teils länger
- rund 50'000
- binnen ~2 Wochen gefasst (Marokko/Türkei)
Im Detail
Vom Patch zum Wurm in wenigen Tagen
Am 9. August 2005 veröffentlichte Microsoft den Patch MS05-039 für eine kritische Lücke im Plug-and-Play-Dienst von Windows 2000. Schon kurz darauf kursierte passender Angriffscode, und binnen weniger Tage kombinierte ihn jemand mit einem Verbreitungsmechanismus: Der Wurm Zotob war geboren. Für Firmen bedeutete das: Wer den August-Patch noch nicht eingespielt hatte, war bereits im Visier — das früher übliche Zeitpolster von Wochen oder Monaten gab es nicht mehr.
Warum ein Büro-Wurm Fabriken stoppt
Zotob interessierte sich nicht für Autos — er suchte schlicht ungepatchte Windows-2000-Rechner. Solche Rechner standen 2005 aber nicht nur in Büros, sondern auch in Werkhallen: als Bedienstationen, Terminals oder Steuer-PCs. Weil Büro-IT und Werksnetz vielerorts kaum getrennt waren, wanderte der Wurm ungehindert bis in die Produktion. Befallene Rechner starteten immer wieder neu, und ohne funktionierende IT stand das Band.
Der Schaden
Bei DaimlerChrysler gingen 13 US-Werke in mehreren Bundesstaaten gleichzeitig offline; die Fahrzeugproduktion stand laut Berichten rund 50 Minuten still, teils länger, rund 50'000 Arbeiter waren betroffen. Auch andere Autozulieferer traf es. Ausserhalb der Industrie kämpften unter anderem CNN, ABC News, die New York Times, General Electric und UPS mit dem Wurm — bei CNN waren die Störungen sogar live im Fernsehen Thema.
Die Täter
Ungewöhnlich für die damalige Zeit: Die mutmasslichen Urheber wurden schnell gefunden. Bereits Ende August 2005 nahmen Behörden in Marokko und der Türkei zwei junge Männer fest — den mutmasslichen Programmierer und seinen Auftraggeber. Die Ermittlungen liefen in enger Zusammenarbeit mit dem FBI und Microsoft.
Was der Fall lehrt
Zotob machte einer breiten Öffentlichkeit klar, dass «wir patchen dann im nächsten Quartal» nicht mehr funktioniert: Das Fenster zwischen Patch-Veröffentlichung und passendem Wurm war auf Tage geschrumpft. Und er zeigte, dass ungepatchte Windows-Rechner im Produktionsnetz ein direktes Produktionsrisiko sind. Die Antworten darauf gelten bis heute: schnelles Patchen, saubere Trennung von Büro- und Produktionsnetz und Notfallpläne für den IT-Ausfall.
