Seiten

Mittwoch, 7. Februar 2018

Das Leck im Prozessor: Hardware als Schwachstelle

Sicherheitslücken in einem Betriebssystem betreffen die Nutzer eines anderen Betriebssystems in aller Regel nicht. Hat jedoch grundlegende Hardware eine Sicherheitslücke, sieht dies anders aus. Anfang Januar 2018 passierte genau das.


Hardware-Leaks


Geht es um Schwachstellen und IT-Sicherheitslücken, kommen (mobile) Betriebssysteme, Anwendungen und mobile Apps zur Sprache, oftmals auch Webbrowser und Browser-Erweiterungen. Doch die Löcher, durch die die Daten ungewollt abfließen und über die Angreifer Zugriff erhalten können, müssen nicht in der Software stecken. Auch die Hardware, zum Beispiel die Computer-Chips, können Fehler aufweisen, die Attacken auf die Daten zulassen.



Anfang Januar diesen Jahres wurde bekannt, dass die Prozessoren verschiedener Hersteller schwer zu behebende IT-Sicherheitslücken haben...

Die Schwachstellen ermöglichen unter anderem das Auslesen von sensiblen Daten wie Passwörtern, Schlüsseln und beliebigen Speicherinhalten, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) betonte. Betroffen waren demnach nahezu alle Geräte, die über einen komplexen Prozessorchip bestimmter Hersteller verfügen, darunter Computer, Smartphones und Tablets mit allen gängigen Betriebssystemen. Aber auch Cloud-Dienste waren von den Sicherheitslücken betroffen. Denn viele davon laufen ebenfalls auf Server-Hardware, die entsprechende Chips nutzen.

Gegenmaßnahmen sind Updates und kein Hardware-Tausch


Was aber können Nutzer tun, wenn es Sicherheitslücken in der Hardware gibt? Müssen die Hardware-Besitzer dann die Chips austauschen, und geht das überhaupt? Natürlich wäre es ideal, die fehlerhafte Hardware austauschen zu können, doch das klappt praktisch nicht. Noch besser wäre es, die Hardware anders zu konzipieren.

Hierzu erklärte BSI-Präsident Arne Schönbohm: „Das BSI hat in der Vergangenheit bereits mehrfach auf die Problematik von IT-Sicherheitsproblemen in Hardware-Produkten hingewiesen, etwa in unseren jährlichen Lageberichten. Der vorliegende Fall ist ein erneuter Beleg dafür, wie wichtig es ist, Aspekte der IT-Sicherheit schon bei der Produktentwicklung angemessen zu berücksichtigen. 'Security by Design' und 'Security by Default' sind Grundsätze, die für den Erfolg der Digitalisierung unerlässlich sind.“

Tatsächlich ist es so, dass die akute Abhilfe bei solchen Hardware-Sicherheitslecks den Maßnahmen sehr ähnlich ist, die auch bei Software-Schwachstellen nötig sind. Es müssen Updates stattfinden, allerdings nicht nur von einigen bestimmten Anwendungen, sondern sehr umfassende Updates. Das liegt daran, dass die Art und Weise, wie die Betriebssysteme und die Anwendungen mit der Hardware kommunizieren und arbeiten, verändert werden muss, auf breiter Front.

Patch-Management ist extrem wichtig


Das regelmäßige und zeitnahe Installieren von Updates als Fehlerbehebung, auch Patches genannt, ist somit nicht nur wichtig, weil Software fehlerbehaftet ist und Datendiebe deren Schwachstellen ausnutzen könnten. Auch in der Hardware lauern Sicherheitslücken, für die Updates nötig sind. Das gilt nicht nur für Prozessoren, sondern für jede Art von Hardware, also zum Beispiel Router, Drucker und Komponenten für Computer-Schnittstellen.

Denken Sie deshalb privat wie beruflich an das sogenannte Patch-Management. Suchen Sie also regelmäßig Patches und installieren Sie sie zeitnah. Die IT, ob Software oder Hardware, kann Fehler und Schwachstellen aufweisen. Machen Sie deshalb als Nutzer nicht den Fehler, Patches zu spät oder sogar überhaupt nicht zu installieren!

Kennen Sie die Risiken von Hardware-Fehlern? Machen Sie den Test


Frage: Weder Software noch Hardware kann als fehlerfrei angenommen werden. Für Software gibt es Updates als Fehlerbehebung, bei Hardware hilft nur der Austausch. Stimmt das?

  • a) Nein, auch für Hardware-Fehler gibt es in der Regel Updates. 
  • b) Ja, Hardware-Fehlern kann man durch Updates nicht begegnen. Das geht nur bei Software.
Lösung: Antwort a) ist richtig. Die Updates ändern zwar die Hardware nicht, aber das Zusammenspiel von Hardware und Software, um so die Auswirkungen der Hardware-Fehler zu kompensieren.

Frage: Hardware-Risiken wie unsichere PC-Schnittstellen lassen sich nur durch direkten Zugriff auf die Hardware ausnutzen. Stimmt das?

  • a) Ja, zum Beispiel durch Anstecken eines verseuchten USB-Sticks an eine fehlerhaft konfigurierte USB-Schnittstelle. 
  • b) Nein, es ist sogar aus der Ferne, also über das Internet, möglich, Hardware-Schnittstellen zu missbrauchen. 

Lösung: Antwort b) ist richtig. Angreifer können es schaffen, über das Internet Hardware-Schnittstellen zu manipulieren, wenn diese entsprechende Schwachstellen aufweisen. So kann es zum Beispiel bei einer Attacke gelingen, auf die unzureichend geschützte Verbindung zum Drucker zuzugreifen, um Daten zu stehlen oder um dem Drucker ungewollte Befehle zu erteilen. Dies ist bereits in der Vergangenheit geschehen, als Angreifer zahlreiche Drucker aus der Ferne aktiviert hatten, um Propaganda zu drucken.

Um sich gegen die aktuellen Risiken zur Wehr zu setzen, müssen Unternehmen verstehen, wie die Cyber-Erpresser denken. Die IT-Security-Experten von yourIT empfehlen: Betrachten Sie Ihr IT-Netzwerk mit den Augen eines Hackers.

Betrachten Sie Ihr IT-Netzwerk mit den Augen eines Hackers - mit Unterstützung von yourIT


Wir sind die Guten! Lassen Sie uns Ihnen helfen, gefährliche Schwachstellen in Ihrem IT-Netzwerk aufzuspüren und proaktiv zu beheben. Warten Sie nicht, bis Cyber-Erpresser diese finden und ausnutzen können.

Nutzen Sie jetzt unser Angebot Sicherheitsaudit "IT-Infrastruktur" - jetzt auch mit Locky-Check.

Unsere Mithilfe gegen Erpressungs-Trojaner - Das yourIT-Sicherheitsaudit "IT-Infrastruktur" - Jetzt neu mit Locky-Check

Unser Sicherheitsaudit "IT-Infrastruktur" wurde beim Innovationspreis-IT ausgezeichnet als BEST OF CONSULTING. Für unsere Beratung gibt es derzeit bis zu 1.500 EUR Fördermittel vom Staat.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.