Kommentar zum Drucker-Hack Whitelisting im Internet of Things

Autor / Redakteur: Fredrik Åhgren / Stephan Augsten

Drucker sind vielleicht nicht das lohnendste Ziel für Cyber-Angriffe, trotzdem werden sie attackiert. Mit Blick auf das Internet der Dinge kann man aus Drucker-Hacks zumindest etwas lernen.

Firmen zum Thema

ImInternet der Dinge können verschiedenste Endpunkte zum Spielball von Cyber-Kriminellen werden.
ImInternet der Dinge können verschiedenste Endpunkte zum Spielball von Cyber-Kriminellen werden.
(Bild: Archiv)

Drucker spucken wie von Geisterhand antisemitische Hetzschriften aus. Das klingt nach schlechtem Film, hat sich genauso jedoch kürzlich an mehreren deutschen Hochschulen ereignet.

Es mag auf den ersten Blick irritieren, dass sich Hacker einfach so in die Netzwerke großer Universitäten einklinken und bequem aus der Ferne ihre Pamphlete ausdrucken können. Drucker gehören allerdings seit jeher zu den schwächsten Gliedern, wenn es um das Thema Netzwerksicherheit geht. Sie sind nämlich ganz gewöhnliche Computer, auf denen wie auf anderen Rechnern auch handelsübliche Betriebssysteme installiert sind.

Der Unterschied: Drucker-Firmware wird so gut wie nie gepatcht oder gemanagt. Auch die Standardeinstellungen der Hersteller werden nach Inbetriebnahme eines Druckers selten geändert – und diese kann in den Handbüchern, die online frei verfügbar sind, jeder nachlesen. Die Drucker-Konfiguration bleibt oft über viele Jahre lang unverändert, und das macht die Ausgabegeräte so anfällig für Angriffe von außen.

Trotzdem beobachten wir bei neXus, dass es in Unternehmen und anderen Organisationen nach wie vor kein ausgeprägtes Bewusstsein für die Notwendigkeit gibt, gerade auch solche Systeme zu schützen – und das obwohl das Risiko für erfolgreiche Angriffe mit der zunehmenden Vernetzung von Maschinen weiter ansteigt.

Das gilt für Drucker ebenso wie für vernetzte „Dinge“ aller Art, darunter Kühlschränke, Autos oder intelligente Klimaanlagen, deren Verbreitung im Zuge des „Internet of Things“ bereits begonnen hat. Wie also lassen sich Vorfälle wie jene, die sich jüngst an den deutschen Hochschulen ereignet haben, vor diesem Hintergrund verhindern?

Die anwendenden Unternehmen können sich für eine von zwei grundsätzlichen Schutz-Strategien entscheiden: Traditionelle Antiviren-Programme wehren Schadsoftware auf Basis einer Blacklist – also einer Liste gefährlicher Programme – auch auf Druckern erfolgreich ab. Die bessere Alternative ist hier jedoch das sogenannte Whitelisting, bei dem unbekannte Anwendungen, Scripts oder Software grundsätzlich geblockt werden – es sei denn sie werden zuvor explizit erlaubt. Ein Vergleich zwischen den beiden Ansätzen macht deutlich, warum.

Schutz für kritische Systeme

Die Menge an Malware, die heute zu jedem beliebigen Zeitpunkt im Netz verbreitet wird, ist gigantisch: Jede Sekunde werden im Durchschnitt elf neue Viren in Umlauf gebracht (Stand April 2015). Selbst die leistungsfähigsten Antiviren-Programme stoßen hier oft an ihre Grenzen – denn gefordert ist letztlich ein Schutz „gegen Unbekannt“.

Insbesondere auf maßgeschneiderte Schadprogramme für sehr gezielte Angriffe reagieren sie häufig erst dann, wenn es schon zu spät ist. Das kontinuierliche Scannen externer Risiken und Angriffe passt zudem nicht zu der permanenten Verfügbarkeit, die von vielen Systemen gefordert wird – man denke nur einmal an Geldautomaten, Server-Farmen und Check-in-Automaten an Flughäfen, aber auch an Fertigungsroboter, Alarmsysteme oder medizintechnisches Equipment in Krankenhäusern.

Diese geschäftskritischen Systeme können nicht oder nur unter wirtschaftlichen Einbußen für ein Patch-Update abgeschaltet werden. Zudem erfordert erfolgreiches Blacklisting, dass die im Hintergrund laufende Liste an potenziellen Gefahren in Echtzeit aktualisiert wird – das zu schützende System muss also kontinuierlich mit dem Betreiber des Antiviren-Programms verbunden sein.

Das zieht einerseits umfangreiche Ressourcen ab, denn die Systeme müssen ja zusätzlich zu ihren eigentlichen Aufgaben permanent nach Malware suchen – es ist aber in vielen Fällen auch nicht wünschenswert, beispielsweise im Falle eines EKG-Geräts auf der Intensivstation einer Klinik, über das sensible Patientendaten laufen.

Wo das Whitelisting seine Stärken ausspielt

Whitelisting-Lösungen sind völlig autark und müssen nicht außerhalb des geschützten Gerätes kommunizieren; sie bieten somit kein weiteres Einfallstor über das Netz. Außerdem benötigen Whitelisting-Lösungen nur geringe Ressourcen und Speicherplatz und haben einen minimalen Einfluss auf die Performance des Systems, das sie schützen

Ein weiterer Nachteil von Blacklisting-Lösungen ist: die Installation neuer Antivirus-Software und die nachfolgenden Updates kollidiert häufig mit den Garantiebedingungen und Compliance-Anforderungen der Hersteller sind, da sie eine Veränderung des ursprünglichen Systems darstellen.

Bei kleineren Geräten wie Druckern ist das noch zu verschmerzen – bei teurem Fertigungsequipment sieht das jedoch anders aus. Mit einer Whitelisting-Lösung ist dieses Problem hinfällig, da auf dem System nur die Programme überhaupt starten können, die zuvor als unproblematisch definiert wurden.

Whitelisting im Internet der Dinge

Letztendlich kommt es bei der Auswahl zwischen Whitelisting und Blacklisting jedoch immer auf die Ausgangssituation und das Einsatzszenario an. Whitelisting ist sicherer als traditionelles Blacklisting, erfordert aber eine grundsätzlich andere Herangehensweise an das Thema Sicherheit.

Diese eignet sich nicht für alle Anwendungsgebiete, insbesondere nicht für Systeme, die häufig verändert werden und natürlich, wenn es um den Schutz einer Vielzahl von Endgeräten geht. Beispielhaft dafür stehen Laptops oder Tablets, auf denen Nutzer immer wieder neue Programme installieren.

Hier ist Whitelisting schlichtweg zu kompliziert und aufwändig und daher nicht praktikabel, denn die Whitelist muss konstant gepflegt werden. Gerade in größeren Unternehmen wäre das für die IT-Abteilungen eine echte Herkulesaufgabe. Blacklisting-Lösungen ermöglichen hier größere Flexibilität.

Und auch Sicherheitsrisiken lassen sich mit dem Whitelisting-Ansatz nicht zu einhundert Prozent ausschließen – es ist theoretisch möglich, dass bereits auf dem Rechner befindliche Schadsoftware als unbedenklich eingestuft wird. Deshalb ist es wichtig, dass ein System „sauber“ ist, bevor eine Whitelist angelegt wird.

Trotz dieser Einschränkungen, die im Übrigen gut kontrollierbar sind, wird Whitelisting in Zukunft weiter an Bedeutung gewinnen – sogar gewinnen müssen, denn Viren und andere Malware werden immer ausgefeilter und damit auch schwieriger zu identifizieren. Die aktuelle Debatte um den Umgang mit Ransomware ist dafür ein gutes Beispiel.

Gleichzeitig steigt die Zahl der Geräte, die miteinander vernetzt sind, aber nicht regelmäßig gepatcht werden, rapide an. Um sich davor zu schützen, dass das selbstfahrende Auto, der Pflegeroboter oder der intelligente Kühlschrank gehackt werden, sind Whitelisting-Lösungen unabdingbar.

Natürlich sind sie kein Ersatz für traditionelle Antiviren-Programme; sie sind jedoch ein zentraler Baustein in einer mehrschichtigen Sicherheitsarchitektur, insbesondere, wenn es um den Schutz kritischer Systeme geht. Viele Organisationen haben das erkannt und diese Ebene bereits eingezogen. Es deutet sich an, dass es ihnen in den nächsten Jahren noch sehr viele mehr gleich tun werden.

Fredrik Åhgren
Fredrik Åhgren
(Bild: neXus)

* Fredrik Åhgren ist Produktmanager beineXus. Das Technologieunternehmen bietet ganzheitliche IT-Sicherheitslösungen für Unternehmen aller Branchen sowie den öffentlichen Sektor und hat sich unter anderem auf anspruchsvolle Whitelisting-Technologien für den Schutz kritischer Systeme spezialisiert.

(ID:44080675)