Nein, ich werde jetzt nicht schadenfroh auf die Firma zeigen, die eine Kernkomponente von Windows (svchost.exe) zum Virus erklärt hat!

Mein Punkt, wenn man mal mit Abstand auf die Situation blickt, ist die Frage, wo der eigentliche Fehler lag, bzw. wie man die Konsequenzen – den Ausfall – minimieren oder vermeiden kann.

Ohne Diskussionen – richtig ist, dass Sicherheitsupdates, Virenscanner und deren Signaturupdates eine zentrale Rolle bei der Sicherheit von IT Infrastrukturen darstellen. Hier gibt es einfach keine Alternativen – außer man zieht jeden Netzwerkstecker, schalten WLAN ab und verschrottet seine UMTS und ähnlichen Geräte.

Aber: Jedes Update stellt einen Change Prozess dar! Wenn man es jetzt formal betrachtet, muss jeder “Change” beantragt und begründet, bewertet und freigegeben werden. Danach kommen “Entwicklung”, Test, Freigabe und Verteilen. Bei “einfachen” Vorgängen, wie Updates, wird man das natürlich verkürzen, die Frage ist halt nur, ob man das soweit verkürzen darf, dass eine vollautomatische Freigabe und flächendeckende Verteilung daraus wird.

Hätte man in so einem Fall zum Beispiel zwei Update Gruppen gebildet, die die Updates zeitlich versetzt bekommen, hätte die erste Gruppe zwar auch Probleme gehabt, die zweite Gruppe aber vermutlich nicht mehr, weil inzwischen genügend Erkenntnisse vorhanden gewesen wären, um das Problem zu vermeiden. Macht man die erste Gruppe genügend klein (aber ausreichend groß, um einigermaßen repräsentativ zu sein), lässt sich der Schaden durchaus begrenzen.

Natürlich gibt es dann auch hier noch ein Restrisiko. Einmal, dass einzelne gefährdete Rechner zu lange nicht ausreichend geschützt sind, zum anderen, weil bestimmte Probleme vielleicht eine bestimmte Kombinationen von Ereignissen benötigen um sichtbar zu werden. In beiden Fällen lässt sich das Risiko aber bewerten und es ist mit hoher Wahrscheinlichkeit erheblich geringer als ein reproduzierbarer Serienfehler.

Auf der anderen Seite fällt mir in solchen Fällen auch immer wieder eine Aussage von einem IT Verantwortlichen bei einem Kunden ein, bei dem ich mal vor einigen Jahren bei einem strategischen Briefing zum Thema Sicherheit involviert war: Wenn es eine kritische Sicherheitslücke gibt, die ein gefährdetes System (hier: Server am Internet) betrifft, werde ich den Fix dafür einspielen, sobald verfügbar, auch, wenn die Anwendung auf dem Server danach nicht mehr fehlerfrei funktioniert. Warum? Weil man danach immer noch die Probleme der Anwendung korrigieren kann, der Schaden durch ein kompromittiertes Systeme, das zum Beispiel Kundendaten verarbeitet, die abhanden kommen, missbraucht oder verändert werden können, ist dagegen sehr viel schwerwiegender.

Am Ende haben aber auch solche Stories immer irgendwo auch etwas Positives. Wenn man meint, jetzt kommt es besonders “dick”, merkt man, dass zumindest in Teilen noch nicht alles verloren ist, weil “Leute” immer noch Wege finden kritische Aufgaben zu lösen. Der Bericht aus dem "Tagebuch".

Der Vollständigkeit halber: Betroffen war nur Windows XP SP3. Doku und Fix: KB2025695

In dem Sinne…