In letzter Zeit häufen sich Warnmeldungen über Schadsoftware in neuen Produkten und Hinweise auf schadhafte Updates vom Hersteller. Erst kürzlich infiltrierten Angreifer Update-Server des Hardwareanbieter ASUS. Nach Schätzung wurden rund eine Million Rechner infiziert. In einem anderen Vorfall fand man mehrere zehntausende Tablet-Rechner und Smartphones mit vorinstallierter Schadsoftware.
Wir sprachen mit Prof. Dr. Günther Pernul, Florian Menges und Fabian Böhm von der Universität Regensburg. Sie forschen u.a. im Rahmen des BMBF-geförderten Projekts DINGFEST zum Thema IT-Forensik und entwickeln einen Werkzeugkasten für die Suche nach digitalen Spuren.
Wie ist nach den jüngsten Vorfällen die Sachlage einzuschätzen?
Pernul: Viele Konsumenten vertrauen den Herstellern und erwarten beim Kauf neuer Hardware keine Schadsoftware auf dem Gerät. Solche Schadsoftware wird von gängigen Antivirenprogrammen nur in seltenen Fällen erkannt und kann auch nur schwer entfernt werden, da sie meist sehr tief in der Firmware der Geräte verankert ist. Konsumenten müssen sich auf die Hersteller verlassen, dass diese „saubere“ Geräte ausliefern und sind dementsprechend schutzlos gegenüber einem solch perfiden Vorgehen.
Sind nur kleine Hardware Lieferanten betroffen? Wo ist Vorsicht geboten?
Böhm: Dies betrifft keineswegs nur unbekannte Hersteller. Die vergangenen Jahre lehren uns, dass durchaus auch Geräte namhafter Hersteller von derartigen Problemen betroffen sein können. Auch beschränken sich derartige Gefahren nicht auf PCs und Tablets, sondern können ganze Infrastrukturen betreffen, wie die aktuelle Debatte um den Aufbau der 5G Netze verdeutlicht. Auf Seiten der Hersteller kann ein solcher Vorfall vorrangig zwei Gründe haben: zum einen die bewusste Auslieferung kompromittierter Hardware und zum anderen eine Sicherheitslücke im Softwareentwicklungsprozess. Um adäquat auf derartige Gefahren reagieren zu können, ist eine schnelle Erkennung der Gefahren auf Hersteller- und Konsumentenseite sowie ein effizienter Informationsaustausch maßgeblich.
Wie hoch ist in Ihren Augen die Bedrohungslage, und wo sehen Sie aktuell die größten Herausforderungen bezüglich Qualität und Sicherheit in der Wertschöpfung komplexer Software?
Menges: In einem modernen Softwareentwicklungsprozess sind meist eine Vielzahl interner und externer Entwickler mit eingebunden. Dies erschwert die Sicherstellung von Qualität und Sicherheit des Softwareentwicklungsprozesses bereits enorm. Der Quellcode wird üblicherweise an einer zentralen Stelle, in einem sog. Repository, gesammelt. Im Anschluss wird der Code mittels verschiedener automatisierter Werkzeuge, der sog. Continuous Integration, getestet, in Software überführt und ausgeliefert. Die größte Herausforderung liegt hier in der Erkennung von möglichen Schadsoftware-Bestandteilen. Während ungewollter Code im Software Repository möglicherweise von Entwicklern entdeckt werden kann, gilt dies nicht für den Code, der bereits durch die Continuous Integration automatisiert verarbeitet wird, da hier üblicherweise keine Menschen mehr involviert sind. Die Software wird dabei meist in Maschinensprache übersetzt und lässt sich dementsprechend kaum noch auf ungewollte Bestandteile untersuchen.
Sie untersuchen im Forschungsvorhaben DINGfest die Detektion, forensische Analyse und Meldung von Sicherheitsvorfällen in modernen Softwareumgebungen. Können Sie Ihren Ansatz kurz erläutern?
Pernul: Im Forschungsvorhaben DINGfest untersuchen wir innovative Methoden und Techniken zur Erkennung und forensischen Aufklärung von Sicherheitsvorfällen im Einklang mit der Datenschutzgrundverordnung. Das Projekt stützt sich hierzu auf die drei wesentlichen Säulen Datenakquise, Erkennung von Sicherheitsvorfällen und forensische Aufbereitung der Ergebnisse. Die Datenakquise erfolgt dabei durch die Extraktion von Speicherinformationen aus laufenden virtuellen Infrastrukturen durch die sogenannten Virtual Machine Introspection (VMI). Diese Informationen werden im Anschluss mit forensischen Fingerabdrücken, Identitäts- und Berechtigungsdaten sowie durch visuelle Verfahren analysiert und damit mögliche Sicherheitsvorfälle identifiziert. Die hierbei identifizierten Informationen werden anschließend forensisch gesichert und für eine Meldung, beispielsweise an staatliche Behörden, vorbereitet.
Wenn Sie Erfolg haben, können Sicherheitsvorfälle, wie sie sich aktuell häufen, erschwert werden?
Böhm: Derartige Vorfälle etwa von vorinstallierter Schadsoftware oder schädlichen Updates können durch DINGfest nicht grundsätzlich erschwert oder verhindert werden. Wir sind jedoch in der Lage, Angriffe, welche sonst mit hoher Wahrscheinlichkeit unentdeckt geblieben wären, überhaupt erst zu entdecken. Gleichzeitig ist die Erkennung durch den Einsatz der VMI für den Angreifer unsichtbar und damit auch nicht manipulierbar. Darüber hinaus ermöglichen wir durch die forensische Sicherung der Daten sowie die Vorbereitung zur Meldung von Sicherheitsvorfällen zusätzlich eine Grundlage für eine spätere gerichtliche Verwertung von Beweisen.
Bisher beschränkten sie sich auf virtualisierte Umgebungen. Nun wollen Sie Ihre Ergebnisse in einem neuen Anwendungsfall im Kontext agiler Softwareerstellung und Softwareintegration nutzen. Wie passt das zusammen?
Menges: Wir konnten bisher das Erkennungspotential von DINGfest in verschiedenen virtuellen Umgebungen und Anwendungsfällen untersuchen. Im Rahmen dieser Arbeit haben Gespräche mit unseren Anwendungspartnern ergeben, dass sie Angriffe auf ihre Software Repositories als eine der zentralen Gefahren für ihre Unternehmen sehen und diese ebenfalls auf virtuellen Umgebungen betrieben werden. Nähere Untersuchungen haben dabei ergeben, dass die Erkennung von Angriffen auf die Softwareerstellung durch DINGFEST maßgeblich verbessert werden kann. Durch den Einsatz von Fingerabdrücken und Identitätsdaten können ungewöhnliche Zugriffe auf die Softwareentwicklungs-Infrastruktur schnell erkannt werden. Da Insiderangriffe ein realistisches Szenario für die Softwareentwicklung sind, sind der Einsatz von VMI und damit die Unsichtbarkeit der Erkennung für Insider ein weiterer wesentlicher Faktor für eine erfolgreiche Erkennung von Sicherheitsvorfällen.
Was lehrt uns der Sicherheitsvorfall? Was raten Sie dem Verbraucher?
Pernul: Auch bei neuen Geräten muss man heute stets damit rechnen, dass Schadsoftware oder zumindest ungewollte Software mit ausgeliefert wird. Auch bei automatisierten Softwareupdates ist entsprechende Vorsicht geboten. Wir empfehlen zuallererst sicherzustellen, dass auf dem Gerät die neueste verfügbare Version des entsprechenden Betriebssystems installiert ist und dass weitere Updates in Zukunft garantiert werden. Des Weiteren ist oftmals eine kurze Recherche hilfreich, ob der Hersteller des Gerätes bereits mit derartigen Sicherheitsvorfällen aufgefallen ist.
Förderbekanntmachung „Erkennung und Aufklärung von IT-Sicherheitsvorfällen“