Vom Umgang mit Sicherheitslücken

von Richard Werner, Business Consultant bei Trend Micro

Herzlichen Glückwunsch Peter Pi! Peter wurde kürzlich von Google als „Researcher of the Year“ ausgezeichnet, und zwar für das Auffinden von nicht weniger als 26 Sicherheitslücken (2015) in Android Betriebssystemen. Man fragt sich, ob das viel ist, alle zehn Arbeitstage eine. Doch die Auszeichnung für den Sicherheitsforscher von Trend Micro, spezialisiert auf das Aufdecken von Schwachstellen, gilt den berüchtigten so genannten Zero-Days. Diese gefährlichen Sicherheitslücken könnten Angreifer nutzen, um die Kunden des Herstellers anzugreifen.

Sicherheitslücken in Programmen sind leider keine Seltenheit und nicht zu unterschätzen. Beinahe alle erfolgreichen Angriffe nutzen die eine oder andere aus. Besonders gefährlich sind so genannte Zero–Day-Sicherheitslücken, das heißt solche, für die noch kein Patch für das betroffene Programm verfügbar ist. Und um genau diese geht es bei der Auszeichnung von Google für den Sicherheitsforscher von Trend Micro.

Der japanische Anbieter investiert bereits seit Jahren in das Untersuchen und Ausspähen von Sicherheitslücken und zählt heute zu den weltweit führenden Unternehmen bezüglich der Aufdeckung von Schwachstellen. Die Sicherheitsforscher suchen selbst gezielt nach solchen Lücken, aber Trend Micro bietet auch Hackern für Sicherheitslücken Geld an. Dabei geht es nur darum, die eigenen Kunden zu schützen — und das Schließen solcher Lücken ist eine der besten Möglichkeiten dafür.

Doch leider sehen dies nicht alle so. Sicherheitslücken sind mittlerweile zur Handelsware geworden, für die bisweilen astronomische Preise gezahlt werden. Aus Sicht der Bösen verständlich, denn erstklassige Sicherheitslücken ermöglichen Hackern das Eindringen und Ausspionieren von Netzwerken und Computern und das zumeist, ohne dass es das Opfer mitbekommen kann. Wenig überraschend auch, dass insbesondere Staaten und regierungsnahe Organisationen zu den Bietern zählen – dem Bericht des Magazins Spiegel aus 2014 zufolge beispielsweise auch der BND.

Nach eigenen Angaben sollen die Sicherheitslücken zu „defensiven Zwecken“ genutzt werden. Leider geben auch diese Institutionen meistens die gekauften Informationen nicht auch an die betroffenen Hersteller weiter. Hinzu kommen Zwischenhändler, die sich bereits auf so genannte „Lawful Interception“ (rechtmäßige Überwachung) spezialisiert haben. Diese bieten neben Sicherheitslücken aber auch Überwachungstools und -dienstleistungen an.

 

bild2

 

 

 

 

 

 

 

 

Bild 1: Preisliste für „lawful Interception“

Um bei diesem Handel nicht ins Hintertreffen zu geraten, muss die Softwareindustrie, so etwa Trend Micro, eigene Forscher beschäftigen und darüber hinaus sich auf so genannte Whitehat Hacker (gute Hacker) verlassen, die ihnen Sicherheitslücken nennen und dafür eine Belohnung und öffentliche Aufmerksamkeit erhalten. Doch im Unterschied zu anderen „Käufern“ arbeitet Trend Micro tatsächlich mit den betroffenen Herstellern zusammen, informiert diese und hilft dabei, die Lücken zu schließen.

Natürlich investiert hier Trend Micro nicht nur aufgrund eines „Helfersyndroms“, sondern weil sich daraus klare wirtschaftliche Vorteile ergeben. Bei Angriffen über Sicherheitslücken helfen klassische Verteidigungsmittel oft nicht weiter. Es bedarf anderer Schutz- und Erkennungsmechanismen. Und die lassen sich nur entwickeln, wenn der Hersteller selbst Sicherheitslücken aufdeckt und dadurch weiß, wie möglicherweise zukünftige Angriffe aussehen.

Beim Aufspüren von neuen Schwachstellen gibt es zumeist noch keine bekannten Exploits (Angriffe) dazu. Wird eine solche Entdeckung allerdings laut verkündet, so dauert es erfahrungsgemäß weniger als einen Tag, bis auch entsprechende Angriffe zu entdecken sind. Die betroffenen Softwarehersteller aber benötigen für Erstellung und Test eines Patch im Schnitt mehr als 90 Tage. Hinzu kommt dann auch noch die von Gartner so genannte „Patching Sound Barrier“  – die unternehmensspezifische Patch-Schallmauer. Das ist die Zeit, die ein Unternehmen mindestens benötigt, um eine Sicherheitslücke zu stopfen.

Und hier bietet Trend Micro einen Vorteil. Dieser Zeitrahmen von im Durchschnitt 90 Tagen und zusätzlich die „unternehmensspezifische Schallmauer“ ist die Zeit, in der die Trend Micro-Lösungen Kunden durch entsprechende Regeln schützen, bevor sie durch herkömmliche Methoden wie beispielsweise das so genannte „Emergency Patching – Notfall-patching“ Sicherheit schaffen. Aus diesem Grund ist Trend Micro stolz auf Peter Pi und seine Kollegen, die sich über die Anerkennung freuen können, die sie seitens betroffener Softwarehersteller (wie in diesem Fall Google) erfahren.

statistik

 

 

 

 

 

 

Bild 2: Durchnittliche Zeit, die ein Unternehmen benötigt, bis es einen Patch für eine Software verfügbar macht.

Die angesprochenen Funktionen sind übrigens in Lösungen wie Trend Micro Deep Security™ und Trend Micro Deep Discovery Inspector, sowie Produkten mit ähnlicher Funktionalität enthalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*