Interview: Die Bedeutung sicherer Softwareverteilung - Neue Fälle von vorinstallierter Schadsoftware und schädlichen Updates – was ist zu tun?

In letzter Zeit häufen sich Warnmeldungen über Schadsoftware in neuen Produkten und Hinweise auf schadhafte Updates vom Hersteller. Erst kürzlich infiltrierten Angreifer Update-Server des Hardwareanbieter ASUS. Nach Schätzung wurden rund eine Million Rechner infiziert. In einem anderen Vorfall fand man mehrere zehntausende Tablet-Rechner und Smartphones mit vorinstallierter Schadsoftware.

Wir sprachen mit Prof. Dr. Günther Pernul, Florian Menges und Fabian Böhm von der Universität Regensburg. Sie forschen u.a. im Rahmen des BMBF-geförderten Projekts DINGFEST zum Thema IT-Forensik und entwickeln einen Werkzeugkasten für die Suche nach digitalen Spuren.

Wie ist nach den jüngsten Vorfällen die Sachlage einzuschätzen?
Pernul: Viele Konsumenten vertrauen den Herstellern und erwarten beim Kauf neuer Hardware keine Schadsoftware auf dem Gerät. Solche Schadsoftware wird von gängigen Antivirenprogrammen nur in seltenen Fällen erkannt und kann auch nur schwer entfernt werden, da sie meist sehr tief in der Firmware der Geräte verankert ist. Konsumenten müssen sich auf die Hersteller verlassen, dass diese „saubere“ Geräte ausliefern und sind dementsprechend schutzlos gegenüber einem solch perfiden Vorgehen.

Sind nur kleine Hardware Lieferanten betroffen? Wo ist Vorsicht geboten?
Böhm: Dies betrifft keineswegs nur unbekannte Hersteller. Die vergangenen Jahre lehren uns, dass durchaus auch Geräte namhafter Hersteller von derartigen Problemen betroffen sein können. Auch beschränken sich derartige Gefahren nicht auf PCs und Tablets, sondern können ganze Infrastrukturen betreffen, wie die aktuelle Debatte um den Aufbau der 5G Netze verdeutlicht. Auf Seiten der Hersteller kann ein solcher Vorfall vorrangig zwei Gründe haben: zum einen die bewusste Auslieferung kompromittierter Hardware und zum anderen eine Sicherheitslücke im Softwareentwicklungsprozess. Um adäquat auf derartige Gefahren reagieren zu können, ist eine schnelle Erkennung der Gefahren auf Hersteller- und Konsumentenseite sowie ein effizienter Informationsaustausch maßgeblich.

Wie hoch ist in Ihren Augen die Bedrohungslage, und wo sehen Sie aktuell die größten Herausforderungen bezüglich Qualität und Sicherheit in der Wertschöpfung komplexer Software?
Menges: In einem modernen Softwareentwicklungsprozess sind meist eine Vielzahl interner und externer Entwickler mit eingebunden. Dies erschwert die Sicherstellung von Qualität und Sicherheit des Softwareentwicklungsprozesses bereits enorm. Der Quellcode wird üblicherweise an einer zentralen Stelle, in einem sog. Repository, gesammelt. Im Anschluss wird der Code mittels verschiedener automatisierter Werkzeuge, der sog. Continuous Integration, getestet, in Software überführt und ausgeliefert. Die größte Herausforderung liegt hier in der Erkennung von möglichen Schadsoftware-Bestandteilen. Während ungewollter Code im Software Repository möglicherweise von Entwicklern entdeckt werden kann, gilt dies nicht für den Code, der bereits durch die Continuous Integration automatisiert verarbeitet wird, da hier üblicherweise keine Menschen mehr involviert sind. Die Software wird dabei meist in Maschinensprache übersetzt und lässt sich dementsprechend kaum noch auf ungewollte Bestandteile untersuchen.

Sie untersuchen im Forschungsvorhaben DINGfest die Detektion, forensische Analyse und Meldung von Sicherheitsvorfällen in modernen Softwareumgebungen. Können Sie Ihren Ansatz kurz erläutern?
Pernul: Im Forschungsvorhaben DINGfest untersuchen wir innovative Methoden und Techniken zur Erkennung und forensischen Aufklärung von Sicherheitsvorfällen im Einklang mit der Datenschutzgrundverordnung. Das Projekt stützt sich hierzu auf die drei wesentlichen Säulen Datenakquise, Erkennung von Sicherheitsvorfällen und forensische Aufbereitung der Ergebnisse. Die Datenakquise erfolgt dabei durch die Extraktion von Speicherinformationen aus laufenden virtuellen Infrastrukturen durch die sogenannten Virtual Machine Introspection (VMI). Diese Informationen werden im Anschluss mit forensischen Fingerabdrücken, Identitäts- und Berechtigungsdaten sowie durch visuelle Verfahren analysiert und damit mögliche Sicherheitsvorfälle identifiziert. Die hierbei identifizierten Informationen werden anschließend forensisch gesichert und für eine Meldung, beispielsweise an staatliche Behörden, vorbereitet.

Wenn Sie Erfolg haben, können Sicherheitsvorfälle, wie sie sich aktuell häufen, erschwert werden?
Böhm: Derartige Vorfälle etwa von vorinstallierter Schadsoftware oder schädlichen Updates können durch DINGfest nicht grundsätzlich erschwert oder verhindert werden. Wir sind jedoch in der Lage, Angriffe, welche sonst mit hoher Wahrscheinlichkeit unentdeckt geblieben wären, überhaupt erst zu entdecken. Gleichzeitig ist die Erkennung durch den Einsatz der VMI für den Angreifer unsichtbar und damit auch nicht manipulierbar. Darüber hinaus ermöglichen wir durch die forensische Sicherung der Daten sowie die Vorbereitung zur Meldung von Sicherheitsvorfällen zusätzlich eine Grundlage für eine spätere gerichtliche Verwertung von Beweisen.

Bisher beschränkten sie sich auf virtualisierte Umgebungen. Nun wollen Sie Ihre Ergebnisse in einem neuen Anwendungsfall im Kontext agiler Softwareerstellung und Softwareintegration nutzen. Wie passt das zusammen?
Menges: Wir konnten bisher das Erkennungspotential von DINGfest in verschiedenen virtuellen Umgebungen und Anwendungsfällen untersuchen. Im Rahmen dieser Arbeit haben Gespräche mit unseren Anwendungspartnern ergeben, dass sie Angriffe auf ihre Software Repositories als eine der zentralen Gefahren für ihre Unternehmen sehen und diese ebenfalls auf virtuellen Umgebungen betrieben werden. Nähere Untersuchungen haben dabei ergeben, dass die Erkennung von Angriffen auf die Softwareerstellung durch DINGFEST maßgeblich verbessert werden kann. Durch den Einsatz von Fingerabdrücken und Identitätsdaten können ungewöhnliche Zugriffe auf die Softwareentwicklungs-Infrastruktur schnell erkannt werden. Da Insiderangriffe ein realistisches Szenario für die Softwareentwicklung sind, sind der Einsatz von VMI und damit die Unsichtbarkeit der Erkennung für Insider ein weiterer wesentlicher Faktor für eine erfolgreiche Erkennung von Sicherheitsvorfällen.

Was lehrt uns der Sicherheitsvorfall? Was raten Sie dem Verbraucher?
Pernul: Auch bei neuen Geräten muss man heute stets damit rechnen, dass Schadsoftware oder zumindest ungewollte Software mit ausgeliefert wird. Auch bei automatisierten Softwareupdates ist entsprechende Vorsicht geboten. Wir empfehlen zuallererst sicherzustellen, dass auf dem Gerät die neueste verfügbare Version des entsprechenden Betriebssystems installiert ist und dass weitere Updates in Zukunft garantiert werden. Des Weiteren ist oftmals eine kurze Recherche hilfreich, ob der Hersteller des Gerätes bereits mit derartigen Sicherheitsvorfällen aufgefallen ist.

Weitere Informationen:

Projekt DINGFEST

Förderbekanntmachung „Erkennung und Aufklärung von IT-Sicherheitsvorfällen“

Zu den Personen

Prof. Dr. Günther Pernul

Günther Pernul studierte Wirtschaftsinformatik an der Universität Wien, an der er schlussendlich auch promovierte und für Informatik habilitierte. Derzeit ist er Inhaber des Lehrstuhls für Wirtschaftsinformatik I an der Universität Regensburg. Zuvor war er in ähnlicher Position an der Universität Duisburg-Essen und als wissenschaftlicher Mitarbeiter am Institut für Angewandte Informatik der Universität Wien tätig. Er war Postdoc-Stipendiat am Database Systems Research and Development Centre an der University of Florida und am College of Computing am Georgia Institute of Technology in Atlanta. Seine Forschungsinteressen sind vielfältig und umfassen Daten- und Informationssicherheitsaspekte, Datenschutz und Privatsphäre, Datenanalyse sowie fortschrittliche Datenbanktechnologien und -anwendungen.

Florian Menges

Florian Menges hat Wirtschaftsinformatik an der Universität Regensburg studiert. Seine Studienschwerpunkte waren Financial Computing und Informationssicherheit im Bachelorstudium und IT-Sicherheit im Masterstudium. Seit August 2016 ist Florian Menges wissenschaftlicher Mitarbeiter am Lehrstuhl für Informationssysteme I. Im Rahmen des Forschungsprojektes DINGFEST arbeitet er an neuen Ansätzen für den Austausch von Threat Intelligence Informationen. Fabian Böhm Fabian Böhm hat Wirtschaftsinformatik im Rahmen des Honors Elite Programms an der Universität Regensburg und an der Universitat Politècnica de Catalunya in Barcelona studiert. Seine Studienschwerpunkte waren Financial Computing und Informationssicherheit im Bachelorstudiengang und Wirtschaftsinformatik im Masterstudiengang. Seit Februar 2017 ist Fabian Böhm wissenschaftlicher Mitarbeiter am Lehrstuhl für Wirtschaftsinformatik I. Im Rahmen des Forschungsprojektes DINGFEST arbeitet er an neuen Ansätzen für die Security Visual Analytics.

Fabian Böhm

Fabian Böhm hat Wirtschaftsinformatik im Rahmen des Honors Elite Programms an der Universität Regensburg und an der Universitat Politècnica de Catalunya in Barcelona studiert. Seine Studienschwerpunkte waren Financial Computing und Informationssicherheit im Bachelorstudiengang und Wirtschaftsinformatik im Masterstudiengang. Seit Februar 2017 ist Fabian Böhm wissenschaftlicher Mitarbeiter am Lehrstuhl für Wirtschaftsinformatik I. Im Rahmen des Forschungsprojektes DINGFEST arbeitet er an neuen Ansätzen für die Security Visual Analytics.