· Mehdi Aroui · cybersecurity · 2 min read
WannaCry 2017: Lessons Learned für KMU 2026
WannaCry befiel im Mai 2017 über 200.000 Systeme in 150 Ländern in 72 Stunden. Der Angriff war technisch nicht neu, aber die Ausbreitung war rekordschnell. Was KMU daraus heute noch lernen können.
Was 2017 passierte
Am 12. Mai 2017 begann WannaCry mit einer Ausbreitung, die Sicherheitsexperten damals in ihrer Geschwindigkeit überraschte. Innerhalb von 72 Stunden waren über 200.000 Systeme in rund 150 Ländern befallen. Betroffen waren Krankenhäuser (UK NHS), Telekommunikationsunternehmen (Telefónica), Logistik (FedEx) und Produktionsanlagen (Renault).
WannaCry nutzte EternalBlue, einen NSA-Exploit, der kurz zuvor von einer Hackergruppe namens Shadow Brokers veröffentlicht worden war. EternalBlue missbrauchte eine Schwachstelle im Windows-SMB-Protokoll (MS17-010). Microsoft hatte den Patch bereits im März 2017 bereitgestellt. Auf ungepatchten Systemen genügte Netzwerkkontakt, kein Klick, keine Phishing-E-Mail.
Ein britischer Sicherheitsforscher (MalwareTech) stoppte die Ausbreitung durch Registrierung einer Kill-Switch-Domain. Das war Glück, keine geplante Gegenmaßnahme.
Warum der Angriff so wirksam war
Drei Faktoren erklären das Ausmaß:
Ungepatchte Systeme: Viele Organisationen betrieben Windows XP und Windows 7 ohne aktuelle Updates. In Produktions- und Klinikumgebungen war das die Norm, weil Wartungsfenster selten geplant wurden.
Keine Netzwerksegmentierung: WannaCry konnte sich lateral durch flache Netzwerke bewegen. Eine infizierte Workstation erreichte Server, Drucker und andere Geräte ohne Hürde.
Fehlende Offline-Backups: Viele Betroffene hatten Backups auf verbundenen Laufwerken, die WannaCry mitverschlüsselte.
Was KMU 2026 daraus ableiten
Die technische Lehre aus WannaCry ist dieselbe wie aus jedem großen Ransomware-Vorfall: Angreifer nutzen bekannte Schwachstellen, nicht Zero-Days. Der wichtigste Schutz ist konsequentes Patch-Management.
Patch-Management: NinjaOne RMM erkennt ungepatchte Betriebssysteme und Applikationen im Netzwerk, priorisiert kritische CVEs und kann Patches automatisiert ausrollen. Kritische Patches (CVSS 9+) sollten binnen 48 Stunden eingespielt sein.
Netzwerksegmentierung: Server, Workstations, IoT-Geräte und Verwaltungssysteme in separate VLANs trennen. Ein befallenes Gerät erreicht dann nicht das gesamte Netzwerk.
Backup nach 3-2-1-Regel: Veeam Backup erstellt täglich Snapshots, repliziert offsite (zweites Standortrechenzentrum oder Azure Backup), und Netzleiter testet die Wiederherstellung quartalsweise. Ein Backup ohne getestete Wiederherstellung ist kein Backup.
EDR statt klassischem Antivirus: ESET PROTECT mit EDR erkennt Verschlüsselungsverhalten und stoppt Ransomware-Prozesse, bevor alle Daten betroffen sind. Klassisches Antivirus auf Signaturbasis hätte WannaCry in den ersten Stunden nicht erkannt.
NIS2-Kontext
WannaCry wäre nach NIS2 ein meldepflichtiger Vorfall gewesen. Betroffene Unternehmen im Gesundheits- oder Energiesektor hätten binnen 24 Stunden eine Erstmeldung an das BSI absetzen müssen. Fehler beim Patch-Management und bei Backups sind heute keine reine IT-Frage mehr, sondern Compliance-Risiken mit persönlicher Haftung der Geschäftsführung.
Zusammenfassung Lessons Learned
| Schwachstelle | Lösung heute |
|---|---|
| Ungepatchte Systeme | NinjaOne Patch-Management, automatisiert |
| Flaches Netzwerk | VLAN-Segmentierung, Firewall-Regeln |
| Backups auf verbundenen Laufwerken | Veeam Offsite-Backup, tägliche Snapshots |
| Signaturbasierter Virenschutz | ESET PROTECT mit EDR |
| Keine Notfallprozesse | Reaktionsplan, Netzleiter Managed Services |
Fragen zu Patch-Management oder Backup-Audit: Hotline 040 25 499 500.
