MS-SQL Slammer: Ein Wurm und die Konsequenzen

Kann Bill Gates hellsehen? "Nie war eine sichere IT-Plattform so wichtig wie heute, da wir zunehmend auf das Internet angewiesen sind, um zu kommunizieren und unsere Geschäfte abzuwickeln", schrieb er am 23. Januar 2003 in einem Executive Newsletter seinen Kunden ins Stammbuch. "Die verbesserte Kommunikation bringt zwar erhebliche Vorteile mit sich, aber auch Sicherheitsrisiken in einem Ausmaß, das nur wenige in unserer Industrie vorausgesehen haben."

Keine 48 Stunden später, in den frühen Morgenstunden des 25. Januar 2003, brach innerhalb von 30 Minuten das Internet für mehr als vier Stunden praktisch völlig zusammen. Fünf der dreizehn Root-DNS-Server fielen völlig aus, die anderen ließen sich auf Grund von Paketverlustraten bis zu 64 Prozent zeitweilig nicht mehr ansprechen. Auch auf den Backbones der großen Provider ging ständig rund ein Drittel der Pakete verloren.

In den USA musste die Bank of America feststellen, dass ein Großteil ihrer 13.000 Bankautomaten wegen der Netzausfälle den Betrieb einstellte. Der AmEx-Kundendienst war durch fehlenden Datenzugriff ebenfalls vorübergehend außer Gefecht gesetzt. Schlimm traf es Südkorea, das Land mit der höchsten Online-Quote der Welt: Zeitweilig ging der wichtigste Provider KT Corp. komplett vom Netz, speziell der Online-Börsenhandel litt dramatisch. Die ausfallenden Geschäfte rissen das Seouler Handelsvolumen in ein Dreizehn-Monats-Tief, der Index sank um knapp drei Prozent. Die ebenfalls schwer betroffene VR China riegelte angesichts der Krise ihr nationales Netz gleich komplett nach außen ab.

Verursacher der Aufregung: Sapphire alias MS-SQL Slammer alias WORM_SQLP1434.A - ein gerade mal 376 Byte großer Schädling. Der vielfach auch schlicht und treffend SQL Hell titulierte Wurm infizierte innerhalb einer guten halben Stunde mindestens 75.000 Microsoft SQL-Server und brachte mit einer wahren Flut von UDP-Paketen auf Port 1434 das Internet innerhalb von 30 Minuten nahezu zum Stillstand.