Der Name EternalBlue ist vielen längst kein Begriff mehr. Die Folgen des Exploits spüren Unternehmen, Behörden und einzelne Nutzer aber bis heute. Fast neun Jahre nach den ersten weltweiten Attacken gilt die Schwachstelle noch immer als ernste Gefahr für die Cybersicherheit. Besonders betroffen sind alte Windows-Systeme, die nie aktualisiert wurden oder weiterhin mit veralteter Technik laufen. Bekannt wurde EternalBlue im Jahr 2017. Damals gelangten geheime Werkzeuge der US-Geheimdienstbehörde NSA an die Öffentlichkeit.
Unter den geleakten Programmen befand sich auch EternalBlue. Der Exploit nutzte eine Schwachstelle im sogenannten SMBv1-Protokoll von Microsoft Windows aus. Dieses Protokoll dient eigentlich dazu, Dateien und Drucker in Netzwerken freizugeben. Genau dort fanden Angreifer jedoch eine gefährliche Lücke. Die Folgen waren dramatisch. Nur kurze Zeit später begann die weltweite WannaCry-Attacke. Innerhalb weniger Stunden wurden hunderttausende Computer in mehr als 150 Ländern lahmgelegt.
Krankenhäuser, Unternehmen, Behörden und Verkehrsbetriebe konnten zeitweise nicht mehr arbeiten. Bildschirme zeigten plötzlich Erpressungsnachrichten an, Daten wurden verschlüsselt. Nutzer sollten Lösegeld bezahlen. Noch verheerender war später NotPetya. Die Schadsoftware verursachte Schäden in Milliardenhöhe. Unternehmen verloren Daten, Produktionsanlagen standen still und ganze Netzwerke mussten abgeschaltet werden. Sicherheitsforscher bezeichneten den Angriff später als eine der zerstörerischsten Cyberattacken überhaupt.
Doch obwohl Microsoft bereits 2017 Sicherheitsupdates veröffentlicht hatte, bleibt das Problem bis heute bestehen, sagt das Sicherheitsunternehmen Panda Security. Viele Systeme wurden nie abgesichert. Vor allem ältere Computer in Unternehmen oder Behörden laufen noch immer mit alten Windows-Versionen oder aktivem SMBv1-Protokoll. Genau diese Geräte suchen Cyberkriminelle weiterhin gezielt im Internet. Experten warnen deshalb seit Jahren vor den Risiken alter IT-Infrastruktur.
Besonders kritisch sei die Lage in Bereichen, in denen Geräte oft über viele Jahre betrieben werden. Dazu zählen etwa Krankenhäuser, Industrieanlagen oder öffentliche Einrichtungen. Dort werden alte Systeme häufig weiter genutzt, weil Spezialsoftware oder Maschinen nicht ohne Weiteres ersetzt werden können. Hervé Lambert, Global Consumer Operations Manager bei Panda Security, erklärt: "EternalBlue zeigt deutlich, wie lange Cyberrisiken bestehen bleiben können, wenn Systeme nicht regelmäßig aktualisiert werden."
Und: "Selbst Jahre nach der Veröffentlichung von Sicherheitsupdates nutzen Angreifer weiterhin dieselben Schwachstellen aus. Regelmäßige Updates und eine reduzierte Angriffsfläche sind entscheidend, um solche Angriffe zu verhindern." Das eigentliche Problem liegt dabei oft nicht an neuen Angriffsmethoden, sondern an alter Technik. Cyberkriminelle brauchen in vielen Fällen keine komplizierten Tricks mehr. Ein ungepatchter Rechner reicht oft bereits aus, damit Schadsoftware in ein Netzwerk eindringen kann.
Besonders gefährlich wird es, wenn sich Angriffe danach automatisch im Netzwerk weiterverbreiten können – genau dafür war EternalBlue berüchtigt. Sicherheitsforscher beobachten bis heute laufend automatische Scans nach verwundbaren Geräten. Angreifer suchen gezielt nach offenen Systemen mit aktivem SMBv1-Protokoll. Betroffen sind dabei nicht nur große Firmen, sondern auch kleinere Unternehmen und private Nutzer mit alten PCs. Microsoft empfiehlt schon seit Jahren, SMBv1 vollständig zu deaktivieren.
Zusätzlich sollten Nutzer das Sicherheitsupdate MS17-010 installiert haben. Moderne Betriebssysteme wie Windows 11 gelten deutlich besser geschützt. Dennoch bleiben weltweit zahlreiche alte Geräte online. Wer noch alte Windows-Versionen nutzt, sollte deshalb dringend handeln. Sicherheitsupdates, aktuelle Betriebssysteme und deaktivierte Alt-Protokolle gehören laut Experten weiterhin zu den wichtigsten Schutzmaßnahmen gegen Angriffe wie EternalBlue.
