Gefährliche Hintertüren

Sicherheitslücken in Software sind fiese Bedrohungen: Denn man muss nicht erst irgendwo draufklicken oder eine Datei herunterladen, um zum Angriffsziel zu werden. Es reicht, die betroffene Software mit der Sicherheitslücke am Rechner zu haben – und schon ist man ein potenzielles Hacking-Opfer. Das ist so lange egal, solange niemand die Lücke entdeckt. Doch wenn sie Hackern bekannt ist, können sie die Schwachstellen mit sogenannten Exploits ausnützen. Die Info macht meist schnell die Runde in der Szene, sodass plötzlich viele Angreifer unterwegs sind und verschiedene Ziele attackieren. Und je länger die Softwareentwickler nichts davon erfahren, desto länger bleiben die Angreifer in den Systemen ungestört.

Zuletzt sorgte eine solche Schwachstelle im E-Mail-Programm Exchange von Microsoft, das in vielen Firmen und Behörden genutzt wird, für massenhafte Hacks. Angegriffen wurden unter anderem das Parlament in Norwegen, das deutsche Umweltbundesamt und die Bankenaufsichtsbehörde der EU. Außerdem sollen die Hacker mehr als 100.000 Server von Unternehmen übernommen haben. Allgemein sind laut Wolfgang Ebner, Präsident des Kuratoriums Sicheres Österreich (KSÖ), eher Unternehmen als Privatpersonen gefährdet, angegriffen zu werden: „Es kann natürlich auch eine gezielte Attacke auf eine Privatperson geben, aber Unternehmen sind für Angreifer viel interessanter.“ Der Grund ist schlicht: Dort gibt es mehr zu holen: „Kriminelle Organisationen suchen sich gut aus, ob sich ein Angriff für sie auszahlt oder nicht.“

KEIN ÖFFENTLICHER PRÜFVORGANG

Benjamin Weissmann, Leiter der Cyberforensik bei EY Österreich, erklärt, wie es in der Regel zu Softwarelücken kommt: „Jede Software ist von Menschen programmiert, und Menschen machen Fehler.“ Eine Software bestehe aus Abermillionen Zeilen Code: „Da den Überblick und den Fokus auf Sicherheit zu behalten ist selbst für große Entwickler-Teams eine Herkulesaufgabe.“ Zwar beginne sich der Security-by-Design-Ansatz durchzusetzen, was so viel heißt, dass Sicherheitsaspekte in allen Phasen und Bereichen der Programmierung grundlegend mitzubedenken sind. Bei den Microsofts und Googles dieser Welt testen auch qualitätssichernde Teams die Software durch. Doch „selbst die Großen sind überfordert davon, eine Übersicht über den Code zu behalten“. Während etwa ein wissenschaftlicher Artikel in Peer-Reviews von anderen Wissenschaftlern auf Herz und Nieren geprüft wird, gebe es bei einem Großteil der Software keinen solchen öffentlichen Prüfvorgang. Weissmann weist zudem auf den „Wildwuchs bei Software“ hin. So würde etwa bei Start-ups, die zum Beispiel eine App schnell herausbringen wollen, selten eine Prüfung der Sicherheitsqualität durchgeführt. Und manchmal werden Sicherheitslücken sogar absichtlich eingebaut. Weissmann kennt einen Fall, wo ein Online- Poker-Anbieter es auf diese Weise möglich machte, in die Karten der Spieler zu schauen. Auch könne es sein, dass Geheimdienstmitarbeiter in die Programmierteams eingeschleust werden und bewusst Lücken einbauen, damit User später im staatlichen Interesse spioniert und ausgespäht werden können.

EINGEBAUTE HINTERTÜREN

Doch was tun, wenn man eine Software verwendet, von der bekannt wird, dass sie eine Sicherheitslücke hat? Meist heißt es dann in den Medien, die Sicherheitslücke sei geschlossen, und als User muss man ein Update machen. Doch selbst nach dem Update ist die Gefahr nicht unbedingt gebannt. Denn erstens weiß man nicht, ob man bereits Opfer eines Hacks war und womöglich Daten abgezogen wurden. Und zweitens kann es sein, dass die Hacker Hintertüren eingebaut haben und so tief ins System vorgedrungen sind, dass sie, auch nachdem Sicherheitslücken geschlossen wurden, weiter ihr Unwesen treiben können. Denn laut Weissmann zielen solche Angriffe oft nicht auf die mangelhafte Software ab: „Oft ist es das Hauptziel der Hacker, so weit in ein Netzwerk vorzudringen, dass man sie, selbst wenn man sie entdeckt, nicht so leicht loswird, weil sie sich zum Beispiel schon eigene Benutzeraccounts mit administrativen Rechten angelegt haben.“ Betroffene Unternehmen sollten sich daher nach dem Installieren des Updates nicht zurücklehnen, sondern herausfinden, ob Angreifer im System waren – und vor allem noch sind. Wenn das der Fall ist, können sich Cyber- Forensiker wie Weissmann gezielt auf die Suche machen. Doch so eine Spurensuche kostet Geld, das Unternehmen ungern ausgeben, wenn sie subjektiv das Gefühl haben, die Gefahr sei mit dem Update ohnehin gebannt.

PLANSPIELE FÜR DEN ERNSTFALL

Und kann man im Vorhinein etwas tun, um sich vor Exploits zu schützen? Laut Wolfgang Ebner vom KSÖ spielt zunächst die Wahl des Software-Herstellers eine Rolle: „Je ausgeprägter der Bekanntheitsgrad der Hersteller, desto eher werden sie sich mit Sicherheitsfragen beschäftigen.“ Auch Daten in bekannten Clouds abzuspeichern, hält Ebner für empfehlenswert, weil auch dort davon auszugehen sei, dass die Anbieter sehr hohe Sicherheitsstandards einsetzen. Software-Updates laufend zu installieren ist der nächste Tipp, denn diese Updates mit neuen Funktionen oder Designs seien in Wirklichkeit entdeckte Schwachstellen, die behoben werden, bevor sie ausgenutzt werden konnten. Außerdem empfiehlt es sich laut Ebner im Geschäftsbereich, Penetrationstests oder Krisenmanagement-Planspiele durchzuführen: „Schon KMU mit 50 Mitarbeitern aufwärts können zum Beispiel durchspielen, was im Unternehmen passiert, wenn Daten abgesaugt werden.“

Bei aller Gefahr betont Wolfgang Ebner aber, dass Unternehmen nicht vor Digitalisierungsschritten wie zum Beispiel der Implementierung eines Webshops zurückschrecken sollten: „Durch die Digitalisierung passiert zwar viel, aber es ist auch sehr vieles möglich.“ Eine hundertprozentige Sicherheit gebe es nie, aber Risiken ließen sich minimieren. Und für den möglichen Schadensfall, der schlimmstenfalls auch richtig ins Geld gehen kann, gibt es mittlerweile auch immer mehr Cyber-Versicherungen für den Business-Bereich.