Aktuelles, Branche - geschrieben von cp am Mittwoch, August 29, 2018 11:21 - noch keine Kommentare
Staatlicher Umgang mit Schwachstellen in Software
Vulnerabilities für digitale Gegenangriffe zurückzuhalten in höchstem Maße riskant
[datensicherheit.de, 29.08.2018] Sollten Staaten Schwachstellen zurückhalten, um die eigenen Möglichkeiten eines Hack Back (digitaler Gegenangriff) zu stärken? Nein, meint Dirk Schrader, CMO von Greenbone Networks, Vulnerability-Management-Anbieter, als Reaktion auf den Spiegel-Artikel „Das Cyber-Dilemma“.
Dikussion über Schutz Kritischer Infrastrunkturen wünschenswert
Gut gezielte Cyber-Angriffe können heute das gesellschaftliche Leben ganzer Staaten lahmlegen. Bei einem totalen Blackout der Energieversorgung würden etwa wichtige elektronische Geräte in Krankenhäusern ausfallen und Lebensmittelkühlketten nicht mehr funktionieren. Auch ließen sich keine Notrufe mehr tätigen und die Frischwasserversorgung wäre gefährdet. Es ist daher gut und wünschenswert, dass die Regierung darüber diskutiert, wie sie die eigenen kritischen Infrastrukturen bestmöglich vor böswilligen Cyber-Angriffen schützen kann. So sind Maßnahmen eins bis drei des vom Bundesverteidigungs- und Bundesinnenministeriums vorgestellten Fünf-Stufen-Plans absolut richtig und wichtig: Prävention von Cyber-Angriffen, Umleitung von Daten eines erkannten Angreifers und Aufklärung von Hacker-Offensiven.
Dirk Schrader, CMO Greenbone Networks
Hack Backs haben unvorhersehbare Nebenwirkungen
Der in Stufe vier und fünf verfolgte Ansatz, gefundene Schwachstellen zurückzuhalten, sie also nicht zu veröffentlichen, um sie für einen sogenannten „Hack Back“ zu nutzen, ist jedoch schon aus technischer Sicht nicht praktikabel. So sollen sich Cyber-Experten in Stufe vier des Plans über eine bisher nicht veröffentlichte Schwachstelle Zugriff auf das IT-System des Hacker verschaffen, um Daten „zurückzuklauen“. Doch bereits hier lauern zahlreiche Fallstricke: Gibt es Kopien von den Daten? Sind die Daten verteilt gespeichert? Wem gehört der Server überhaupt? Und was ist, wenn der Server in einem befreundeten Land steht und Eigentum der dortigen Regierung ist?
Stufe 5 – die von Hackern genutzten Server zu zerstören – erinnert wiederum sehr an das Vorgehen der britischen Regierung nach den Snowden-Enthüllungen. Hier wurden Festplatten der britischen Tageszeitung „The Guardian“ mit Bohrern zerstört. Die Folge eines solchen Vorgehens: Nutzen auch andere unbeteiligte Einrichtungen den Server, wären auch deren Daten unwiederbringlich verloren. Insbesondere bei kritischen Infrastrukturen wie Krankenhäusern hätte dies fatale Folgen.
In diesem Zusammenhang stellt sich außerdem die bisher nicht thematisierte Frage, gegen wen solche Maßnahmen der Stufen 4 und 5 theoretisch gerichtet sein können – und dürfen. Wenn ausländische Dritte vom Hack Back betroffen sind, wertet deren Regierung das als Angriff und hackt auch zurück? Eine solche Spirale sollte verhindert werden.
Unveröffentlichte Schwachstellen sind immer ein Risiko
Darüber hinaus gibt es auch bei der Beschaffung von bisher unveröffentlichten Schwachstellen ein sehr konkretes Problem: Findet man selbst eine neue Sicherheitslücke, muss man immer davon ausgehen, dass feindlich gesinnte Hacker oder Regierungen ebenfalls auf diese aufmerksam werden. Es gilt also, die eigene Infrastruktur gegen einen Angriff über ebenjene Schwachstelle zu schützen. Doch wie gelingt das, wenn es dafür noch keinen Patch gibt? Die Thematik ist umso brisanter, wenn man das Wissen über eine Schwachstelle von einem Dritten gekauft hat. Denn Gegner sind natürlich in der Lage, das Gleiche zu tun.
Spätestens wenn die Schwachstelle für einen Hack Back genutzt wurde, ist sie ein maßgeblicher Risikofaktor, denn: Ab diesem Zeitpunkt ist sie bekannt, wird analysiert und von Gegnern eventuell ebenfalls für einen Angriff genutzt. Derselbe Mechanismus greift bei digitalen Schläferzellen – Schadsoftware, die über eine Schwachstelle unbemerkt im IT-System von potenziellen Gegnern platziert wird und bei Bedarf zum Einsatz kommt. Denn auch hier gilt: Ab ihrem Bekanntwerden – etwa indem die Schadsoftware gestartet wird – ist sie ein potenzielles Einfallstor in das eigene IT-System.
Fazit: Digitalen Waffen keinen Entwicklungsraum geben
Schwachstellen zurückzuhalten, um sie für Hack Backs zu nutzen, ist weder politisch, noch administrativ, noch technologisch tragbar. Schlussendlich erhöht jede nicht geschlossene Schwachstelle das Risiko eines erfolgreichen Angriffs. Die Folgen eines solchen sind in unserer komplex vernetzten Welt unvorhersehbar. Im schlimmsten Fall kommt es zu einem Kaskadeneffekt, der das komplette gesellschaftliche Leben zum Erliegen bringt. Dieses Risiko sollten Regierungen auf keinen Fall eingehen, denn sie sind für das Wohl der Bürger verantwortlich. Anstatt sich also um zwischenstaatliche Verfahren über die Weitergabe von Schwachstellen zu bemühen, sollte die politische Energie vielmehr auf die Ächtung von D-Waffen (digitalen Waffen) nach dem Vorbild des Genfer Protokolls zielen.
Weitere Informatione zum Thema:
datensicherheit.de, 29.06.2018
Ausnutzen von Schwachstellen: Cyber-Kriminelle haben durchschnittlich sieben Tage Zeit
datensicherheit.de, 09.03.2017
Internet der Dinge zeigt Schwachstellen in Business-Netzwerken auf
Aktuelles, Experten - Sep 13, 2024 0:52 - noch keine Kommentare
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
weitere Beiträge in Experten
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
- BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens
Aktuelles, Branche - Sep 14, 2024 0:17 - noch keine Kommentare
SANS Institute gibt eBook zur Cloud-Sicherheit heraus
weitere Beiträge in Branche
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
- NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren