Die Meinung der SAP-Community IT-Security Kolumne MAG 1606

Sie sind schon geimpft? Und Ihr Rechner?

Security

Mit dem Sommer steht auch die Sommergrippesaison vor der Tür und mit ihr die Impfdiskussion. Eine ähnliche Entwicklung finden wir auch im IT-Bereich.

Auch im IT-Bereich treiben Infektionen (in Form von Schadsoftware bzw. „Exploits“) ihr Unwesen. Und auch hier gibt es mit dem Einspielen von Patches eine Entsprechung zur Impfung.

Wie bei den realen Krankheiten gibt es aber auch in der IT-Welt „Impfmuffel“ – mit fatalen Konsequenzen für sich und andere. Als „Grippe der IT“ kann man Conficker (auch bekannt unter Downup, Downadup, kido und Worm.Win32/Conficker) bezeichnen.

Der Computerwurm treibt seit 2008 sein Unwesen. Dazu nutzt er eine Lücke in Windows (MS08-067), mit der er sich über das Netzwerk verbreitet. Microsoft schloss diese Lücke sehr schnell für alle betroffenen Betriebssysteme und stellte entsprechende Patches bereit.

Damit sollte Conficker Geschichte sein. Eigentlich.

… doch leider ist dies nicht der Fall. Im Gegenteil, wir reden hier beileibe nicht über „Kleinigkeiten“.

Die „Conficker Working Group“ verfolgt bis heute die Infektionslandschaft: Ihr zufolge bewegt sich die Anzahl der Infektionen je nach Zählweise auch heute, acht Jahre später, noch immer im zwei- bis dreistelligen Tausenderbereich.

Acht (!) Jahre, in denen die Impfmedizin, also der Patch, schon verfügbar ist! Wie bei Krankheiten gibt es auch in der IT-Welt Fälle, die man nicht einfach mit Patches (Medizin) angehen kann oder darf.

Dementsprechend ist aber auch die Impfung der anderen umso wichtiger! Immerhin sinkt damit das Infektionsrisiko für ungepatchte (nicht geimpfte) Systeme ab einem gewissen Schwellwert praktisch auf null.

Nur leider ist die Anzahl der ungepatchten Systeme erschreckend hoch. Damit stellen diese Einfallstore für Angriffe dar. D. h. diese nicht gepatchten Systeme werden durch Conficker zu einer Art „Brückenkopf“, von dem aus Angreifer ganz in Ruhe innerhalb der Infrastruktur andere Systeme angreifen können.

Und das ist acht Jahre nach Con­ficker, gelinde gesagt, hart an der Grenze zum Vorsatz – wenn nicht sogar darüber hinaus …

Leider ist das nicht der einzige Fall, der auf eine weitverbreitete Nachlässigkeit beim Patchen schließen lässt.

Ein aktuelleres Beispiel ist „Stuxnet“. Während es die meisten ausschließlich mit Angriffen auf Industriesteuerungen assoziieren, nutzte Stuxnet einen ganzen Strauß an Sicherheitslücken, inkl. CVE-2010-2568 – einer Sicherheitslücke, die mithilfe von Verknüpfungsdateien beliebige Code-Ausführung ermöglicht.

Obwohl die Berichterstattung zu Stuxnet massiv war, zeigt sich auch hier, dass dies nicht zwangsläufig zu einem höheren Sicherheitsbewusstsein führt. Auch heute – „nur“ sechs Jahre nach Stuxnet – ist diese Lücke eine der primären Angriffswaffen im Internet.

Viele Exploit-Kits, z. B. das weitverbreitete „Angler Exploit Kit“, nutzen diese Lücke bis heute. Diese Tatsache zeigt deutlich, dass sich selbst mit diesen alten Exploits „genug“ PCs infizieren lassen.

Die beiden Beispiele zeigen deutlich, dass es leider immer noch (zu) viele „Patch-Muffel“ gibt. Und das Argument der fehlenden Zeit zieht nach sechs bzw. acht Jahren hierbei nun wirklich nicht … Ungepatchte Systeme stellen nicht nur eine Gefahr für sich selbst dar – sie gefährden auch andere, indem sie als Brückenkopf dienen.

Daher hier ein Appell: Das (zeitnahe) Einspielen von Patches ist heute wichtiger denn je. Bitte tun Sie es! Es gibt heute kaum noch Gründe, nicht zu patchen! Bei kritischen Systemen kann man heute z. B. dank des virtuellen Patchens („virtual shielding“) sofort für einen adäquaten Schutz sorgen. D. h. während der Patch in Ruhe getestet wird, ist man erst mal vor dem Angriff sicher.

Nach erfolgreichem Test wird der Patch via Patch-Management installiert und der virtuelle Schutzschild entfernt. Für Systeme, die sich nicht patchen lassen, ist virtuelles Patchen u. U. sogar eine dauerhafte Maßnahme.

Damit gibt es keinen Grund mehr, (über das Internet erreichbare!) Systeme mit diesen Lücken zu betreiben.

Letztendlich ist es wie bei der Grippe und den Masern. Eine hundertprozentige Abdeckung ist gar nicht nötig – beim Unterschreiten eines Schwellwertes ist de facto statistisch Schutz für alle gegeben.

Leider sind wir sowohl bei Krankheiten als auch in der IT-Welt weit davon entfernt. Und fadenscheinige Argumente helfen hier leider nur der Krankheit bzw. den „Erregern“: den Cyberkriminellen.

Über den Autor

Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.

Hinterlassen Sie einen Kommentar

AdvertDie Meinung 2