Von Schnittstellen zu geplanten Schwachstellen

bei

 / 14. December. 2017

Mit dem Einzug intelligenter und weniger intelligenter Geräte, von digitalen Sprachassistenten und Set-Top-Boxen bis hin zu Autos, Telefonen, Smart-TVs, Tablets und einer Vielzahl neuer und bislang technisch nicht denkbarer IoT-Produkte verlassen sich immer mehr Bürger auf deren starke informations-technologische Sicherheit. Diese soll Schutz vor Hackern, vor anderen Benutzern, vor den Herstellern und vor dritten Dienstanbieter wie Sozialen Netzwerken oder Suchmaschinen gleichermaßen gewährleisten.

Viele dieser Geräte genügen oft schon aktuellen Sicherheitsanforderungen nicht und geraten deshalb auch immer wieder in die Schlagzeilen. Ursache hierfür ist, dass sie im Einzelfall schon einfachsten Sicherheitsbedrohungen nicht standhalten, indem sie vertrauliche Informationen preisgeben oder – unbemerkt vom Eigentümer – als bösartige Fußsoldaten in den Heeren der unzähligen Bot-Netze agieren.

Ursache und Auslöser sind oft absichtlich vom Hersteller hinterlassene oder nachträglich von Dritten installierte Hintertüren, die an den eigentlichen Sicherheitsmechanismen vorbei Zugriff gewähren. Dies geschieht oft auch unter Erlangung von Administrationsrechten bis hin zum Vollzugriff. Aber auch das Beibehalten von Standardkonfigurationen (Username: „admin“ mit identischem Passwort als Paradebeispiel) oder eine unzureichende Härtung des Systems machen IT- und IoT-Systeme anfällig für den Zugriff unerwünschter Dritter.

Kein ernstzunehmender Sicherheitsforscher wird verneinen, dass durch derartige Schwachstellen oder Hintertüren in einem IT-System sich die Chance erhöht, dass diese auch durch Kriminelle, professionelle Hacker, Skript-Kiddies oder durch die Nutzung von extra hierfür entwickelten spezialisierten Toolkits praktisch durch jeden auch nur mäßig IT-begabten Nutzer ausgebeutet werden können. Konkrete Gefahren liegen in den Bereichen Industriespionage, Diese Risiken werden immer noch unterschätzt. Grundlegende technische Ansätze, beispielsweise ein angemessenes und umfassendes Patch-Management (zur Aktualisierung kompromittierter Softwareversionen) wären hier eine Lösung.

Die Tatsache aber, dass IoT-Geräte, aber auch viele SmartPhones oder SmartTVs selten bis nie mit neuen, sichereren Betriebssystem oder Firmware-Versionen aktualisiert werden, zeigt einen wichtigen Aspekt des Dilemmas: Wird eine Schwachstelle bekannt, wird sie nur selten gepatcht werden, bleibt damit offen und dokumentiert. Tritt dieser Fall ein, wird eine solche Schwachstelle dann auch zwangsläufig auch von einer Vielzahl unterschiedlicher Angreifer aktiv ausgenutzt. Ist sie einzelnen bekannt, wird aber nicht dokumentiert, wird oft von einer Zero-Day-Vulnerability gesprochen, die aber oft lange ausgenutzt wird. Sie gefährdet den Bürger als Privatanwender und agiert dieser als Mitarbeiter im Unternehmen, ist dieses folgerichtig zusätzlich ebenfalls potentiell bedroht.

Eine Vielzahl von Herstellern strebt an, ein kontinuierlich steigendes Sicherheitsniveau in ihren Systemen zu implementieren. Hierdurch wird gezielt auf die Verhinderung ungewünschte Zugriffe Dritter auf sensible Systeme hingearbeitet. Der Zugriff vorbei an allen Sicherheitsmechanismen ist folgerichtig eine Begehrlichkeit von einer Vielzahl von interessierten Stellen.

Gefahr droht damit zukünftig womöglich auch bei bislang vertrauenswürdigeren Systemen: In einer Vielzahl von Staaten fordern staatliche Stellen, etwa zur Verbrechens- oder Terrorismusbekämpfung genau einen solchen Zugriff auf derartige Systeme. Neben der selbständigen Fahndung nach solchen Schwachstellen durch staatliche Stellen werden diese auch in grauen Märkten gehandelt und bisweilen für staatliche Zwecke aufgekauft.
Der logisch nächste Schritt ist damit die Einflussnahme auf Standards, Protokolle, Hersteller und Produkte und diese Forderung wird heute schon in vielen Ländern erhoben. Aktuell wird das nun auch in der Bundesrepublik Deutschland diskutiert.

Nach Recherchen des RedaktionsNetzwerk Deutschland (RND) strebt das Bundesinnenministerium eine durch rechtliche Verpflichtung unter Strafandrohung erzwungene Offenlegung der Programmierschnittstellen/APIs für alle Hersteller aller oben genannter Produkte und weiterer an. Eine Offenlegung der Schnittstellen und damit der Kommunikation bedeutet folgerichtig die potentielle Einsicht in eigentlich zum Übertragungszeit verschlüsselte Daten und die direkte Nutzung möglicher erkannter Schwachstellen vor Ort. Darüber hinaus wird die technische Fähigkeit gefordert, auch private Rechner im noch näher zu definieren „Krisenfall“ abzuschalten zu können. Hierbei sollen vor der Stilllegung der Computer personenbezogene Daten extrahiert werden können.

Die grundlegende Beurteilung der Hintergründe von Terrorismus- und Kriminalitätsbekämpfung ist eine langfristige Aufgabe. Deren Umsetzung in technische und rechtliche Maßnahmen muss aber darüber hinaus allgemeinen Grundsätzen und rechtlichen Anforderungen der IT-Sicherheit, des Datenschutzes und der Wahrung der Privatsphäre Genüge tun. Die derzeit vorliegenden Dokumente beinhalten einen Richtervorbehalt, die Maßnahmen sind damit im Rahmen der Gewaltenteilung formal strengen Beschränkungen unterworfen. Damit dieser Richtvorbehalt jegliche nicht genehmigten Zugriff verlässlich verhindert, ist von klaren Voraussetzungen und Annahmen auszugehen: Die Annahme, dass eine Schwachstelle nur von einer staatlichen Stelle entdeckt und anschließend ausgenutzt wird, ist falsch. Gleiches gilt für die Annahme, dass Backdoors nicht entdeckt und geöffnet werden.

Folgerichtig ist jede nicht behobene Schwachstelle eine Gefährdung für Wirtschaft und Gesellschaft. Die Erfahrung zeigt, dass bei staatliche Stellen bekannte und genutzte Schwachstellen nur eine geringe Halbwertszeit bis zu deren Offenlegung und deren unerwünschte Nutzung durch Dritte haben. Der Wikileaks Vault7 Dump als nur ein sehr prominenter Leak in einer Reihe von Veröffentlichungen beinhaltet staatliche genutzte Schwachstellen, die oft noch langfristig ausnutzbar sind. Die Ransomware-Attacke WannaCry basierte auf einer in Windows erkannten Schwachstelle, die von der NSA aktiv fünf Jahre ausgenutzt wurde und deren Details erst nach Diebstahl von Informationen über die zugrundeliegende Schwachstelle und damit offensichtlich zu spät an Microsoft übermittelt wurden.

Die Entfernung solcher Sicherheitsrisiken zum Schutz der Bürger auch bei allgemeinem Bekanntwerden solcher Gefahren hingegen ist schwierig. Oft ist sie weder technisch noch organisatorisch machbar, da die Nutzungsdauer (und damit die Ausnutzungsdauer von bekannt gewordenen, gewollten wie ungewollten Sicherheitslücken) deutlich länger als der Wartungszeitraum ist, in dem Hersteller Sicherheitsupdates, neue Firmware oder Systemversionen bereitstellen. Nicht zuletzt ist auch der Zugang zu diesen Systemen aus vielen Gründen nicht direkt oder nur mit hohem Aufwand möglich.

Da die geplante Regelung die volle Bandbreite von Geräten umfasst, die der private, aber nicht zuletzt auch der kommerzielle oder staatliche Anwender in praktisch allen Lebens- und Arbeitsbereichen nutzt, sind auch praktisch alle von diesen Systemen verarbeiteten Daten in Gefahr. Zu betrachten sind exemplarisch nur etwa die Informationen, die heute einem typischen Smartphone anvertraut werden, ergänzt um die kleinen und großen Geheimnisse, die ein intelligenter Sprachassistent, das vernetzte Auto und das Smart Home (inklusive der Überwachungskameras) über uns wissen. Eine Beurteilung der oben beschriebenen Initiative mit Blick auf eine Ausspähung dieser Informationen durch unerwünschte Dritte jenseits staatlicher Aktivitäten sollte damit grundlegend auf Basis der Grundsätze, Erkenntnisse und Best Practices von IT-Sicherheit, Compliance und dem Schutz der Privatsphäre der betroffenen Personen erfolgen.

Der Autor: Matthias Reinwarth ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Vorheriger ArtikelOrdnung ins Chaos bringen – Datenmanagement in der Cloud gemäß DSGVO
Nächster ArtikelIoT-Geräte: Wenn Cyber Security für Kunde und Marke zum kritischen Faktor wird