Bitte anfassen: Always change a running system

Computersysteme haben längst Einzug in alle Lebensbereiche gehalten. Durch den Einsatz dieser Technologien wurde und wird unser Leben zweifelsohne einfacher. Ob es sich um die Fahrzeugsteuerung in einem PKW oder um die digitale Zutrittssteuerung im Büro handelt – in vielen Fällen sind wir von diesen Systemen abhängig und müssen uns auf eine ordnungsgemäße Funktion verlassen. Die Eigenschaften von IT-Systemen werden maßgeblich durch ihre Software festgelegt. Dies reicht von integrierten Steuerungsanlagen bis hin zu Anwendungssoftware auf PC oder Notebook. So unterschiedlich verschiedene Softwareprodukte sein können, eines haben sie jedoch gemeinsam: Alle enthalten Fehler, die zu Sicherheitslücken führen können. Wer diesem Problem sinnvoll begegnen will, muss sich von dem alten Grundsatz „Never change a running system“ verabschieden. Wer seine IT-Systeme wirklich schützen will, muss Sicherheit als kontinuierlichen Prozess verstehen – und in der Organisation entsprechend verankern.

Gerade die bekannte Sicherheitslücke wird gefährlich

Der Ursprung von Fehlern und damit Sicherheitslücken in IT-Systemen kann vielfältig sein. So fand beispielsweise ein Hacker im Jahr 2008 heraus, dass eine unzureichende Spezifizierung in den Kassensystemen des Discounters Lidl zu deren Absturz führen konnte. [1] Die im April 2014 bekannt gewordene Schwachstelle in der Verschlüsselungsbibliothek OpenSSL mit dem Namen „Heartbleed“ resultierte hingegen aus einem Implementierungsfehler. [2] Unabhängig von Ursache und Auswirkung stellen Hersteller in der Regel Software-Updates bereit, welche bekannt gewordene Fehler beheben sollen. Gleichzeitig werden im Internet aber Informationen und Werkzeuge zur Ausnutzung dieser Sicherheitslücken gehandelt, mit denen nicht nur technisch versierte Nutzer großen Schaden anrichten können. Da eine Schwachstelle zum Zeitpunkt der Bereitstellung einer Fehlerbehebung (oder kurz danach) meist öffentlich bekannt ist, kann sie durch Angreifer aktiv ausgenutzt werden.

Die Betreiber von IT-Systemen sind daher gut beraten, Aktualisierungen zeitnah einzuspielen. Dies ist im Fall von regulärer Anwendungssoftware auf einem PC vergleichsweise einfach – kann im Fall von dezentralen und nicht vernetzen Systemen jedoch einen erheblichen Aufwand bedeuten. Ein aktuelles Beispiel dafür ist die Rückrufaktion von VW, bei der wegen des Abgasskandals allein in Deutschland hunderttausende Fahrzeuge zum Softwareupdate in die Werkstatt müssen. [3]

Veraltete IT-Systeme – keine Randerscheinung

In der Realität funktionieren Updateprozesse oft nicht reibungslos. In einigen Fällen stellen Softwarehersteller Aktualisierungen gar nicht oder nicht zeitnah zur Verfügung. Spätestens, wenn ein Produkt den regulären Lebenszyklus verlässt, werden keine neuen Versionen mehr bereitgestellt. In anderen Fällen scheitert der Prozess auf Seiten des Betreibers eines Systems. Die Gründe dafür sind vielfältig: zu hohe Komplexität beim Aktualisierungsvorgang, ein fehlender Prozess, mangelndes Bewusstsein oder Kompatibilitätsprobleme, um nur einige zu nennen. Ein alltägliches Beispiel dafür sind die Router von privaten Internetanschlüssen. Dem Benutzer fehlen oft das Bewusstsein und die Kenntnisse, um seinen Router auf einem aktuellen Stand zu halten. Automatisch ablaufende Updateroutinen gibt es meist nicht, und so steht die Sicherheitskomponente des Netzwerks selbst ungeschützt im Internet. Heise etwa hat mit automatisierten Scans verwundbare Geräte in sechsstelliger Höhe gefunden und nennt die Lage „nach wie vor desaströs“. [4]

Sehr schnell reagieren mussten Administratoren auf die bereits angesprochene „Heartbleed“- Schwachstelle in OpenSSL. Hier führt ein Programmierfehler dazu, dass Angreifer verschlüsselte Kommunikation mitlesen können. Sicherheits-Experten wie Bruce Schneier bezeichneten die Auswirkungen der Schwachstelle als Katastrophe. [5] In Anbetracht dieser Bedrohungslage sollte eigentlich davon auszugehen sein, dass Administratoren ihre Systeme zeitnah aktualisieren. Doch eine Studie der Cybersecurity-Firma Venafi aus dem Jahr 2015 zeigt, dass selbst zwölf Monate nach Bekanntwerden von Heartbleed der Großteil der öffentlich erreichbaren Server der 2.000 grössten Unternehmen weiterhin verwundbar blieb. [6]

Windows XP: Ablösung trotz Vorlauf eine Herausforderung

Plötzlich bekanntwerdende Sicherheitslücken stellen alle Organisationen, ob aus der Privatwirtschaft oder der öffentlichen Verwaltung, vor große Herausforderungen. Aber diese Herausforderungen kann es selbst dann noch geben, wenn der Handlungsbedarf schon seit Langem bekannt und geplant ist. Als Beispiel sei hier das Ende des Supports für das Betriebssystem Windows XP genannt. Das bevorstehende Ende des Lifecycles wurde von Microsoft einige Jahre im Voraus angekündigt. Berichte der Fachmedien machen dennoch deutlich, dass große Organisationen ihre Schwierigkeiten mit der Umstellung von Windows XP auf Windows 7 hatten und haben. Mit entsprechenden Herausforderungen waren etwa auch der Deutsche Bundestag und die Berliner Landesverwaltung konfrontiert. [7] [8]

Die Lebenszyklen von Hard- und Software müssen aufeinander abgestimmt sein

Windows XP läuft aber nicht nur auf gewöhnlichen Rechnern, sondern auch auf speziellen Geräten mit besonderen Aufgaben, z.B. in der Medizintechnik. Ist der Lifecycle der Hardware aber länger als der der sie steuernden Software, laufen diese Geräte meist weiterhin mit einem veralteten Betriebssystem – und die neu entdeckten Sicherheitslücken der Software werden in diesen Fällen nicht geschlossen. Dabei spielt gerade in einem Bereich wie der Medizintechnik die Sicherheit eine ganz besondere, übergeordnete Rolle. [9]

Bei Geldautomaten gestaltet sich die Situation ähnlich. Hier werden noch rund 95 Prozent der Systeme mit Windows XP betrieben. Wie Geräte in der Medizintechnik können auch Geldautomaten nicht ohne Weiteres auf neue Versionen des Betriebssystems migriert werden. Während die Deutsche Kreditwirtschaft die fehlende Verbindung der Geldautomaten ins öffentliche Internet als Sicherheitsmerkmal ansieht – wodurch auf Windows XP basierende Geräte weiterhin sicher betrieben werden könnten –, ist Kaspersky Labs der gegenteiligen Auffassung: Fast alle Geldautomaten seien wegen des veralteten Windows XP für Angriffe anfällig. [10] [11]

Ein strukturiertes Sicherheits- und Patchmanagement erhöht die Sicherheit

Neue Sicherheitslücken können jederzeit entdeckt werden. Systeme nur einmalig abzusichern, ist somit unzureichend. Die Frage, ob Systeme ausreichend abgesichert sind oder nicht, muss kontinuierlich gestellt werden. Diese regelmäßige Überprüfung ist als betriebliche Aufgabe zu verstehen. Auf Grund der Komplexität und der Abhängigkeit von Komponenten und Systemen kann die Wirksamkeit der Absicherung erst nach Prüfung aller gemeinsam agierenden Sicherheitsmaßnahmen bewertet werden.

Die Herausforderung für alle Organisationen besteht darin, ein Managementsystem zu etablieren, damit diese Überprüfung im Rahmen der betrieblichen Aufgaben durchgeführt wird. Es ist entscheidend, bei Bedarf die notwendigen Änderungen in einem strukturierten Verfahren vornehmen zu können, ohne dabei den Betrieb und andere Systeme zu gefährden. Ein Sicherheits- und Patchmanagement (SuP), das in der Organisation verankert und standardisiert ist, kann die übergreifende Struktur für Abteilungen und Fachbereiche bieten. Zentrale Aufgabe des SuP ist es, sowohl planbare als auch nicht planbare, kurzfristige Änderungen an Systemen umzusetzen. Diese Änderungen können nicht nur Software-, sondern auch Hardwarekomponenten oder betriebliche Abläufe betreffen. Dabei gilt es, Abhängigkeiten zu betrachten, damit ungewollte Ausfälle von Diensten im Rahmen von Aktualisierungen vermieden werden.

Änderungen an Systemen ohne Abhängigkeiten lassen sich innerhalb der Organisationseinheit selbst umsetzen. Für größere und komplexere Änderungen ist es allerdings ratsam, ein übergreifendes Gremium zu etablieren. Ein Change Advisory Board (CAB), das standardisierte, aufeinander abgestimmte Abläufe und geregelte Verantwortlichkeiten aufweist, ist in der Lage, eingereichte Änderungsanträge strukturiert zu bearbeiten. In der Praxis hat es sich bewährt, dass in einem CAB alle relevanten Bereiche einbezogen werden – auch Stabsfunktionen wie etwa IT-Sicherheitsbeauftragter und Datenschützer. Entscheidungen, beispielsweise zur Einspielung von Software-Updates oder Hardwarewechseln, können dann unter Berücksichtigung aller betrieblichen und sicherheitsrelevanten Abhängigkeiten getroffen werden.

Lifecycle Management: Sicherheit durch regelmässiges Ausmustern

In Organisationen kommen meist unterschiedliche IT-Systeme und Komponenten zum Einsatz, für die in der Regel verschiedene Fachbereiche zuständig sind. Jede Hardwarekomponente hat einen sogenannten Lifecycle, einen Lebenszyklus. In Abhängigkeit von diesem Lifecycle findet der Herstellersupport statt – und die Bereitstellung neuer Softwareversionen, die Fehler beseitigen und möglicherweise den Funktionsumfang erweitern. Fehlende (Sicherheits-)Funktionalitäten in einer Komponente können jedoch nicht immer durch eine einfache Aktualisierung der Firmware nachgerüstet werden. Im Sicherheitsbereich lassen sich beispielsweise nur dann neue kryptografische Algorithmen per Softwareupdate aufspielen und nutzen, wenn die eingesetzte Hardware diese Algorithmen auch unterstützt. Sollen jeweils aktuelle kryptografische Algorithmen eingesetzt werden, ist meist ein bedarfsgerechter Austausch von Komponenten erforderlich. Es gilt darum, neue Beschaffungen in Abstimmung mit den fachlich verantwortlichen Bereichen frühzeitig zu planen. Im Fokus dürfen dabei nicht nur funktionale Anforderungen stehen, sondern primär auch strategische und sicherheitsrelevante Anforderungen.

Ein gutes Beispiel für das Ende eines Software-Lifecycles liefert das GSTOOL vom BSI, das seit 1998 dabei unterstützt, Sicherheitskonzepte entsprechend dem IT-Grundschutz zu erstellen, zu verwalten und fortzuschreiben. Im Oktober 2014 kündigte das BSI die Einstellung und das Supportende von GSTOOL zum Ende des Jahres 2016 an. Die Nutzer sind seitdem aufgefordert, die Ausserbetriebnahme ihrer GSTOOL-Instanz vorzubereiten und auf ein anderes Information Security Management System zu migrieren. [12] Ein ISMS-Tool ist ein wesentlicher Baustein in der Sicherheitsorganisation, da mit diesem Werkzeug die Umsetzung von Sicherheitsmaßnahmen gesteuert werden kann. Die Verfahrensverantwortlichen für das ISMS-Tool sollten also umgehend mit gutem Beispiel vorangehen und den Einsatz eines Nachfolgers planen und realisieren.

Sicherheit durch stetige Veränderung

Die fortschreitende Verbreitung von IT-Systemen und deren Vernetzung haben die Herausforderungen für (IT-)Organisationen in den vergangenen Jahren deutlich gesteigert. Organisationen müssen Herausforderungen gesamtheitlich betrachten und neben technischen Fragestellungen auch ihre Prozesse aufeinander abstimmen. In diesem Kontext hat sich die Etablierung von standardisierten Prozessen bewährt.

Dabei gilt das Prinzip: Nach der Absicherung ist vor der Absicherung. Es ist erforderlich, Sicherheitsmaßnahmen kontinuierlich zu überwachen und in Frage zu stellen. Dies müssen Organisationen als betriebliche Aufgabe verstehen – und entsprechend einplanen und umsetzen. Denn bekannte Sicherheitslücken, die noch nicht geschlossen sind, stellen vermeidbare Einladungen für alle Arten von Angreifern dar, von technischen Laien bis zu Geheimdiensten.

Technische Systeme zu warten, ist kein neues Konzept. Technische Anlagen in der Industrie werden ebenso regelmäßig überprüft und bei Bedarf repariert wie PKWs in Privathaushalten – es ist unerlässlich, IT-Systeme mit derselben Sorgfalt zu warten. Nur so lässt sich ein zuverlässiger Betrieb sicherstellen. Auch das BSI hat die neuen Herausforderungen erkannt und mit der Modernisierung des IT-Grundschutzes reagiert. Dadurch soll die Absicherung von Komponenten und Prozessen zielgerichteter und schneller erfolgen können. Dieses neue Werkzeug wird dem BSI zufolge ab 2017 zur Verfügung stehen.

Der alte Grundsatz „Never change a running system“ bietet eine unnötig große Angriffsfläche. Produktive Systeme müssen immer angefasst und angepasst werden. Eine Organisation, in der der Wille zur stetigen Weiterentwicklung mit ausreichenden Ressourcen untermauert wird, schafft die Voraussetzung für einen sicheren und zukunftsfähigen Betrieb. Sicherheit muss als Prozess verstanden werden und bedarf der kontinuierlichen Verbesserung. Der neue Grundsatz sollte also lauten: Always change a running system.

Take-Away-Box:

  • Gefahren für Organisationen entstehen durch lange bekannte, aber nicht behobene Schwachstellen.
  • Jegliche Sicherheitsmassnahmen müssen ständig hinterfragt und überprüft werden, denn eine einmalige Absicherung ist unzureichend.
  • Notwendig ist ein strukturiertes Sicherheits- und Patchmanagement unter Beteiligung aller relevanten Fachbereiche.
  • Zu beachten ist der Lifecycle von IT-Komponenten, nach dessen Ablauf Systeme konsequent ausgemustert werden sollten.

Literaturverzeichnis

[1] Trends der Zukunft, „Der Lidl Hack – Wie man mit 25c Dosenfleisch den Discounter K.O. schlägt,“ 02 August 2008. [Online]. Available: http://www.trendsderzukunft.de/der-lidl-hack-wie-man-mit-25c-dosenfleisch-den-discounter-ko-schlaegt/2008/08/02/. [Zugriff am 05 Mai 2016].
[2] OpenSSL, „OpenSSL Vulnerabilities,“ 07 April 2014. [Online]. Available: https://www.openssl.org/news/vulnerabilities.html#y2014. [Zugriff am 2016 Mai 05].
[3] Volkswagen, „Rückruf betroffener EA189-Dieselfahrzeuge durch das Kraftfahrtbundesamt (KBA) beschlossen,“ 15 Oktober 2015. [Online]. Available: http://www.volkswagenag.com/content/vwcorp/info_center/de/news/2015/10/VW_KBA.html. [Zugriff am 05 Mai 2016].
[4] Heise Security, „c’t zeigt Auswege aus dem Router-Desaster,“ 05 April 2014. [Online]. Available: http://www.heise.de/security/meldung/c-t-zeigt-Auswege-aus-dem-Router-Desaster-2163708.html. [Zugriff am 05 Mai 2016].
[5] B. Schneier, „Heartbleed – Schneier on Security,“ 09 April 2014. [Online]. Available: https://www.schneier.com/blog/archives/2014/04/heartbleed.html. [Zugriff am 05 Mai 2016].
[6] Venafi, „Hearts Continue to Bleed – Heartbleed One Year Later,“ 2015. [Online]. Available: https://www.venafi.com/assets/pdf/wp/Hearts-Continue-to-Bleed-Research-Report.pdf. [Zugriff am 05 Mai 2016].
[7] Heise Online, „Datenschützer Dix: Behörden-PCs mit Windows XP sofort abschalten,“ 13 April 2015. [Online]. Available: http://www.heise.de/newsticker/meldung/Datenschuetzer-Dix-Behoerden-PCs-mit-Windows-XP-sofort-abschalten-2600693.html. [Zugriff am 05 Mai 2016].
[8] Heise, „Bundestag: 119.000 Euro für verlängerten Windows-XP-Support,“ 15 Dezember 2014. [Online]. Available: http://www.heise.de/newsticker/meldung/Bundestag-119-000-Euro-fuer-verlaengerten-Windows-XP-Support-2497063.html. [Zugriff am 26 Mai 2016].
[9] M. Voth, „Support-Ende für Windows XP trifft Medizinprodukte,“ Krankenhaus-IT Journal, Nr. 1, p. 20, 2013.
[10] Handelsblatt, „Wenn der Bankautomat abstürzt,“ 18 März 2014. [Online]. Available: http://www.handelsblatt.com/unternehmen/it-medien/altes-system-windows-xp-wenn-der-bankautomat-abstuerzt/9628926.html. [Zugriff am 05 Mai 2016].
[11] Heise Online, „Kaspersky: Fast alle Geldautomaten unsicher,“ 01 Mai 2016. [Online]. Available: http://www.heise.de/newsticker/meldung/Kaspersky-Fast-alle-Geldautomaten-unsicher-3194773.html. [Zugriff am 05 Mai 2016].
[12] BSI, „GSTOOL – Aktuelle Informationen,“ [Online]. Available: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/GSTOOL/AktuelleInformationen/aktuelleinformationen_node.html. [Zugriff am 24 05 2016].

Sopha-GrasshoffAutoren: Sven Malte Sopha, Senior Consultant, und Jan Graßhoff, Consultant, Cassini Consulting (www.cassini.de)

Share this...
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter