Suchen

Instrumentalisierte Malware Aus Stuxnet lernen und das Risiko gefälschter Zertifikate minimieren

Autor / Redakteur: Jeff Hudson, Venafi / Stephan Augsten

Die Cyber-Attacke mithilfe von Stuxnet sollte für jeden eine Warnung sein, immerhin handelt es sich bei dem Trojaner um keine gewöhnliche Malware: Erstmals macht sich ein Schadcode gestohlene Zertifikate zunutze, um Sicherheitsmechanismen auszutricksen. Dieser Artikel geht darauf ein, wie man entsprechenden Risiken begegnen kann.

Firmen zum Thema

Stuxnet hat bewiesen, dass man auch mit digitalen Zertifikaten vorsichtig umgehen sollte.
Stuxnet hat bewiesen, dass man auch mit digitalen Zertifikaten vorsichtig umgehen sollte.
( Archiv: Vogel Business Media )

Der Hype um Sicherheitsvorfälle gehört in unserer vernetzten und IT-abhängigen Welt zum Alltag. Und so berichteten viele Medien angesichts der Stuxnet-Verbreitung zunächst über eine neuerliche, wenn auch ungewöhnliche Malware-Attacke.

Letztlich musste man aber erkennen, das Stuxnet eine ganz neue Art von Schadcode ist. Nicht genug damit, dass ein Angriff über vier verschiedene Zero-Day-Schwachstellen in Windows-Plattformen erfolgen konnte – zusätzlich nutzte Stuxnet auch noch ein gestohlenes digitales Zertifikat, das von Verisign ausgestellt worden war.

Stuxnet sollte sich automatisch in freier Wildbahn verbreiten, ohne jemals Kontakt zu einem Command-and-Control-Server aufzunehmen. In der isolierten Netzwerk-Umgebung von Urananreicherungsanlagen, wie der Schadcode sie offenbar zum Ziel hatte, wäre ein Verbindungsversuch ohnehin zum Scheitern verurteilt gewesen.

Malware als Waffe

Alle Indizien weisen darauf hin, dass der Schadcode als eine Art Waffe agieren sollte. Bislang bedurfte es einer konventionellen Waffe – beispielsweise einer Bombe – um eine Industrieanlage außer Kraft zu setzen. Stuxnet hat aber gezeigt, dass man mechanische Schäden innerhalb einer Einrichtung auch ohne mechanische oder elektromagnetische Kräfte verursachen kann.

Grob geschätzt müsste die Entwicklung einer derart spezialisierten Malware zehn Mannjahre gedauert haben. Eine einzelne Person wird Stuxnet jedoch nicht programmiert haben. Das Verwenden unterschiedlicher Entwicklungstools, die Zeitstempel der Binärdateien und der variierende Programmierstil der Module – all das spricht sogar dafür, dass es mehrere Entwicklungsteams gegeben haben muss.

Ob Nachtsichtgeräte oder GPS-Systeme, vollautomatische Waffen oder Kevlar-Ausrüstungen, Raketen oder Luftdrohnen: Über kurz oder lang bleibt keine militärische Entwicklung im Besitz der Nation, die sie entwickelt hat. Auch Schurkenstaaten sowie Personen und Organisationen wie Terroristen, Paramilitärs und Kriminelle profitieren von solchen Erfindungen.

Somit stellen sich folgende Fragen:

  • Wie lange dauert es noch, bis Malware auch als Waffe eingesetzt, um wertvolle Informationen und Systeme von Nationen, Banken oder Telko-Unternehmen zu kompromittieren?
  • Was kann man dagegen tun?

Besonders merkwürdig und besorgniserregend an Stuxnet ist, dass im Rahmen einer Malware-Attacke zum ersten Mal ein echtes digitales Zertifikat missbraucht wurde. Das Zertifikat erlaubt es nämlich, dass Stuxnet vom System als vertrauenswürdige Anwendung betrachtet wird und deshalb mit allen möglichen Komponenten kommunizieren kann.

Seite 2: Digitale Zertifikate in den Griff bekommen

Digitale Zertifikate in den Griff bekommen

Während man sich gegen Zero-Day-Schwachstellen naturgemäß wenig schützen kann, lässt sich die Gefahr durch Zertifikate innerhalb der Netzwerk-Umgebung effektiv eindämmen. Zunächst einmal sollte man wissen, welche digitalen Zertifikate innerhalb des Netzwerks überhaupt aktiv sind.

Nur die wenigsten Unternehmen wissen um die genaue Anzahl der Zertifikate, wer sie wo installiert hat, ob sie überhaupt gültig sind und wann sie ablaufen. Übertragen auf physikalische Sicherheit wäre das so, als wenn man nicht weiß, welche Personen sich in den sensiblen Bereichen meines Gebäudes frei bewegen dürfen. Man stelle sich nur eine Bank vor, in der niemand weiß, wer eigentlich den Safe betreten darf.

Sicherlich ist dieses Beispiel etwas überspitzt. Doch analog zur Zertifikatsproblematik handelt es sich um eine schlichtweg inakzeptable Situation – und zwar für jeden, der Sicherheit auch nur ein wenig ernst nimmt. In beiden Fällen besteht ein unwägbares Risiko (unquantified risk). Der einzige Ausweg besteht darin, aktiv und kontinuierlich zu überwachen, was innerhalb der Firmen- bzw. Netzwerkgrenzen vor sich geht.

Mit einem durchgehenden Monitoring sollte man außerdem sicherstellen, dass sämtliche Zertifikate genau die Funktionen gewährleisten, für die sie vorgesehen sind. Im Rahmen entsprechender Kontrollen gilt es natürlich auch, die Zertifikate über den gesamten Lebenszyklus hinweg zu überwachen und nach ihrem Ablaufdatum zu ersetzen.

Viele Unternehmen haben hier großen Nachholbedarf, was letztlich ein unkontrollierbares Risiko (unmanaged risk) darstellt, das sich aber mit wenig Aufwand wieder unter Kontrolle bringen lässt. Stuxnet hat gezeigt was passiert, wenn man sich dieser Gefahren nicht bewusst ist oder sie ignoriert.

Zeit zu Handeln

Vor Stuxnet waren unzureichendes Wissen über Zertifikate und mangelndes Management derselben weitestgehend akzeptiert. Kaum einer weiß genau wie digitale Zertifikate funktionieren, welche Rolle sie in der IT-Sicherheit spielen und wie man sie entsprechend der Firmenvorgaben verwalten soll – oder laut Best Practice verwalten sollte.

Genau das muss sich ändern. Stuxnet sollte ein Weckruf für all jene sein, die das Monitoring und Management von digitalen Zertifikaten bislang sträflich vernachlässigt haben. Unternehmen müssen Handlungsempfehlungen und Richtlinien umsetzen, wie mit digitalen Zertifikaten umzugehen ist. Es ist an der Zeit zu handeln, bevor die Waffe Malware das Unternehmen volle Breitseite erwischt.

Jeff Hudson ist Chief Executive Officer von Venafi, einem Spezialisten für die Verwaltung digitaler Zertifikate und Encryption Keys.

(ID:2049575)