// Security

Zotob (DaimlerChrysler)

Ein Windows-Wurm erschien nur Tage nach dem Patch — und stoppte 13 US-Autowerke von DaimlerChrysler.

Zotob (2005): ein Windows-Wurm erschien nur Tage nach dem Patch, wanderte über Büro-Rechner bis in Werksnetze und stoppte 13 US-Autowerke von DaimlerChryslerInternetWurm ZotobBüro-ITWindows 2000WerksnetzungepatchtProduktion13 WerkeAufbauAugust 2005: Microsoft schliesst eine kritische Windows-2000-Lücke.Doch viele Firmen patchen langsam — auch Rechner in Produktionsnetzen.
Tempo:

Schritt 1 von 6

August 2005: Microsoft schliesst eine kritische Windows-2000-Lücke. Doch viele Firmen patchen langsam — auch Rechner in Produktionsnetzen.

In 30 Sekunden

Im August 2005 schloss Microsoft eine kritische Lücke im Plug-and-Play-Dienst von Windows 2000. Nur wenige Tage später verbreitete sich der daraus gebaute Wurm Zotob selbstständig durchs Internet. Er traf Medienhäuser wie CNN, ABC und die New York Times — und die Industrie: Bei DaimlerChrysler stoppten 13 US-Werke die Produktion, rund 50'000 Arbeiter standen still. Der Fall zeigte, dass das Zeitfenster zwischen Patch und Wurm auf Tage geschrumpft war und dass ungepatchte Büro-Rechner direkt die Produktion treffen können.

Was geschah

Jahr

2005

Ziel

Zotob hatte kein bestimmtes Ziel: Der Wurm befiel wahllos ungepatchte Windows-2000-Rechner. Getroffen wurde jede Firma, die solche Rechner im Netz erreichbar hatte — auch in Werks- und Produktionsnetzen.

Der Angriffsweg

  1. 9. August 2005: Microsoft veröffentlicht einen als kritisch eingestuften Patch für eine Lücke im Plug-and-Play-Dienst von Windows 2000 (Sicherheitsbulletin MS05-039).
  2. Nur wenige Tage später bauen Kriminelle daraus den Wurm Zotob, der sich ohne Zutun der Benutzer selbstständig von Rechner zu Rechner verbreitet.
  3. Zotob gelangt in Firmennetze und sucht dort automatisch nach weiteren ungepatchten Windows-2000-Rechnern.
  4. Befallene Rechner werden instabil und starten immer wieder neu — ganze Netzbereiche werden dadurch unbrauchbar.
  5. Weil Büro-IT und Werksnetze vielerorts kaum getrennt sind, erreicht der Wurm auch Rechner in der Produktion: Bei DaimlerChrysler stehen 13 US-Werke still.
  6. Die mutmasslichen Täter in Marokko und der Türkei werden binnen rund zwei Wochen gefasst.

Auswirkung

Bei DaimlerChrysler stoppten 13 US-Werke die Fahrzeugproduktion — laut Berichten für rund 50 Minuten, teils länger; rund 50'000 Arbeiter waren betroffen. Auch andere Autozulieferer sowie zahlreiche Firmen wie CNN, ABC, die New York Times, General Electric oder UPS kämpften mit befallenen Rechnern. Physisch wurde nichts beschädigt, doch jeder Produktionsstopp kostete bares Geld.

So schützt du dich

Spiele Sicherheits-Patches schnell ein — das Zeitfenster bis zum passenden Schadprogramm kann nur Tage betragen.
Trenne das Produktionsnetz von der Büro-IT (Netzwerk-Segmentierung), damit ein Büro-Wurm nicht bis ans Fliessband kommt.
Inventarisiere Altsysteme: Wisse, wo veraltete Windows-Versionen im Werksnetz laufen, und schirme sie gezielt ab.
Plane feste Patch- und Wartungsfenster auch für Produktionsanlagen ein — «läuft, nicht anfassen» ist ein Risiko.
Überwache das Netz auf wurmtypisches Verhalten (viele gleichartige Verbindungsversuche) und alarmiere automatisch.
Übe den Notfall: Wie fährt ein Werk kontrolliert herunter und wieder hoch, wenn die IT ausfällt?

Fakten

Jahr
August 2005
Schadprogramm
Wurm Zotob (Windows 2000)
Lücke
Plug-and-Play-Dienst, Patch MS05-039
Patch-zu-Wurm
nur wenige Tage
Betroffen
DaimlerChrysler (13 US-Werke), CNN, ABC, New York Times u. v. m.
Produktionsstopp
rund 50 Minuten, teils länger
Betroffene Arbeiter
rund 50'000
Täter
binnen ~2 Wochen gefasst (Marokko/Türkei)

Im Detail

Vom Patch zum Wurm in wenigen Tagen

Am 9. August 2005 veröffentlichte Microsoft den Patch MS05-039 für eine kritische Lücke im Plug-and-Play-Dienst von Windows 2000. Schon kurz darauf kursierte passender Angriffscode, und binnen weniger Tage kombinierte ihn jemand mit einem Verbreitungsmechanismus: Der Wurm Zotob war geboren. Für Firmen bedeutete das: Wer den August-Patch noch nicht eingespielt hatte, war bereits im Visier — das früher übliche Zeitpolster von Wochen oder Monaten gab es nicht mehr.

Warum ein Büro-Wurm Fabriken stoppt

Zotob interessierte sich nicht für Autos — er suchte schlicht ungepatchte Windows-2000-Rechner. Solche Rechner standen 2005 aber nicht nur in Büros, sondern auch in Werkhallen: als Bedienstationen, Terminals oder Steuer-PCs. Weil Büro-IT und Werksnetz vielerorts kaum getrennt waren, wanderte der Wurm ungehindert bis in die Produktion. Befallene Rechner starteten immer wieder neu, und ohne funktionierende IT stand das Band.

Der Schaden

Bei DaimlerChrysler gingen 13 US-Werke in mehreren Bundesstaaten gleichzeitig offline; die Fahrzeugproduktion stand laut Berichten rund 50 Minuten still, teils länger, rund 50'000 Arbeiter waren betroffen. Auch andere Autozulieferer traf es. Ausserhalb der Industrie kämpften unter anderem CNN, ABC News, die New York Times, General Electric und UPS mit dem Wurm — bei CNN waren die Störungen sogar live im Fernsehen Thema.

Die Täter

Ungewöhnlich für die damalige Zeit: Die mutmasslichen Urheber wurden schnell gefunden. Bereits Ende August 2005 nahmen Behörden in Marokko und der Türkei zwei junge Männer fest — den mutmasslichen Programmierer und seinen Auftraggeber. Die Ermittlungen liefen in enger Zusammenarbeit mit dem FBI und Microsoft.

Was der Fall lehrt

Zotob machte einer breiten Öffentlichkeit klar, dass «wir patchen dann im nächsten Quartal» nicht mehr funktioniert: Das Fenster zwischen Patch-Veröffentlichung und passendem Wurm war auf Tage geschrumpft. Und er zeigte, dass ungepatchte Windows-Rechner im Produktionsnetz ein direktes Produktionsrisiko sind. Die Antworten darauf gelten bis heute: schnelles Patchen, saubere Trennung von Büro- und Produktionsnetz und Notfallpläne für den IT-Ausfall.