Report: Neue Backdoors in die Security

Der Blick über den Tellerrand

Wenn sich IT-Sicherheitsverantwortliche, Entwickler, IT-Administratoren, Netzwerkverantwortliche, EDV-Leitungen, Datenschutzbeauftragte, Revisoren und Hacker an einem Ort treffen, dann bietet sich die Chance, den jeweils eigenen Blick auf Security zu weiten.

Wie wichtig dieser Blick über den eigenen Tellerrand ist, zeigen Fachkonferenzen wie die IT-Defense 2023, die mit rund 240 Teilnehmenden im Februar in Mainz stattfand. Bei solchen Gelegenheiten wird deutlich, dass so manches Security-Konzept blinde Flecken aufweist. Genau solche „blinde Flecken“ suchen Angreifende, um sie als Hintertür in die scheinbar geschützte Organisation zu nehmen.

IT-Sicherheit und OT-Sicherheit sind nicht alles

Viele Unternehmen sind sich in den letzten Jahren bewusst geworden, dass sie neben der IT-Sicherheit auch die OT-Sicherheit nicht vernachlässigen dürfen. Die zunehmende Vernetzung zwischen IT und OT führt nicht nur zur vielfach zitierten IT-OT-Konvergenz, sondern sie bringt früher nicht bestehende oder nicht wahrgenommene Risiken von der IT in die OT und umgekehrt.

Doch IT und OT sind nicht alles. Unternehmen, die zum Beispiel SAP einsetzen, müssen sich bewusst machen, dass die bisherige IT-Sicherheit nicht ausreichen könnte, um mögliche SAP-Risiken zu erkennen und abzuwehren.

Andreas Wiegenstein, Forscher im Bereich SAP-Sicherheit, beleuchtete auf der IT-Defense das Angriffspotenzial einer gehackten SAP-Installation auf das Unternehmensnetzwerk. Es besteht dabei die Möglichkeit, dass Angreifende die SAP-eigene Programmiersprache ABAP nutzen, um neue Angriffsflächen zu schaffen, bis hin zu ABAP-Malware, die nicht auf dem Schirm einer klassischen Anti-Viren-Lösung ist.

Risiken durch mächtige Entwicklungstechnologien

Ein zweites Beispiel für mögliche Hintertüren in eine scheinbar gut funktionierende Security: Der Sicherheitsexperte Carsten Strotmann stellte das „extended Berkeley Packet Filter/Framework“ (eBPF) vor. Dadurch wird es möglich, Programme direkt im Kern des Betriebssystems ablaufen zu lassen. Diese Programme werden dabei Teil des Betriebssystem-Kernels. Die Technologie bietet enorme Vorteile für die Administration, aber auch für die Absicherung von Rechnern und Netzwerken. eBPF erlaubt zum Beispiel neue Arten von Firewalls und Intrusion Detection, Abwehr von DDoS-Angriffen und ein Audit von Anwendungen und Betriebssystem-Funktionen.

Jedoch können auch Malware oder Angreifende eBPF-Programme nutzen, um sich im Kern des Betriebssystems einzunisten. eBPF-Malware „fliegt unter dem Radar“, sie ist unsichtbar für traditionelle „Endpoint Protection“, so der Sicherheitsexperte. Das Problem: eBPF ist seit einigen Jahren Teil fast jeder Linux-Distribution und wird derzeit von Microsoft auf Windows portiert, damit besteht das Risiko für solche Angriffe in sehr vielen Unternehmen, die sich dessen aber gar nicht bewusst sind.

Schwachstellen Dritter als Unternehmensrisiko

Über Supply-Chain-Attacken wird gegenwärtig viel diskutiert, doch nicht immer ist klar genug, dass zum Beispiel in die Website eines Unternehmens sehr leicht kritische Sicherheitslücken durch Dritte eingebracht werden können.

Prof. Dr. Martin Johns von der Technischen Universität Braunschweig berichtete auf der IT-Defense von „3rd-Party JavaScript, das unbekannte Wesen“. JavaScript und Security, das sind zwei Begriffe, die gern auf Kriegsfuß miteinander stehen, so der Professor. Ein gern übersehenes Problem: JavaScript, das auf den Webseiten eines Unternehmens ausgeführt wird, das das Unternehmen aber nicht selbst geschrieben hat und über das der Website-Betreiber nur sehr wenig Kontrolle hat.

Wie in dem Vortrag gezeigt wurde, steigt zum Beispiel mit der Akzeptanz von Online-Tracking vielfach auch das Risiko durch in die Website eingebrachte JavaScript-Sicherheitslücken. Wer also Tracking ablehnt, kann neben dem Datenschutz auch seine Online-Sicherheit steigern.

Mangelnder Datenschutz ist auch ein Sicherheitsrisiko

Unternehmen werden mit immer neuen Gefahren aus dem Internet konfrontiert, so der bekannte Security-Experte Mikko Hypponen, der eine Keynote auf der IT-Defense gab. Die Schlagzeilen sind voll von Datenschutzverletzungen, Datenpannen und Malware-Angriffen. Auch Ransomware scheint allgegenwärtig zu sein. Für den Datenschutz im Internet scheint es fast zu spät zu sein, so der Experte.

Im Gespräch mit dem Autor wurde aber deutlich, dass man den Datenschutz nicht aufgeben darf. Ohne Datenschutz wird es für Angreifende sehr einfach, Security-Maßnahmen zu umgehen, denn auch die Entwicklerinnen und Entwickler hoch sicherer, geschlossener Systeme könnten dann manipuliert und erpresst werden. Kriminelle könnten die ausgespähten IT-Fachkräfte womöglich dazu zwingen, Schwachstellen zu implementieren.

Offensichtlich muss auch aus Sicht der Security deutlich mehr für den Datenschutz getan werden, denn Datenschutz kann auch dabei helfen, Social Engineering zu erschweren, eine Angriffsmethode, die sich auch gegen IT-Sicherheitsverantwortliche, Entwicklerinnen und Entwickler, IT-Administratoren und -Administratorinnen, Netzwerkverantwortliche und EDV-Leitungen richten kann.

Es zeigt sich: Die Security muss sich in Zukunft noch deutlich mehr befassen mit bislang wenig bekannten Entwicklungsverfahren, proprietären IT-Landschaften mit ihren jeweils eigenen Risiken und auch mit dem Datenschutz, der letztlich auch die Security-Fachkräfte davor schützt, raffinierten Manipulationsversuchen ausgesetzt zu sein, weil die Angreifenden sonst vertrauliche Informationen über die Security-Expertinnen und Experten ihres Angriffsziels sammeln und missbrauchen könnten. Es gibt also weitaus mehr Backdoors in die Security, als die klassische IT-Sicherheit und OT-Sicherheit schon bisher fürchtet.