Code als Sicherheitsrisiko
Schwachstellen in Drittanbieter-Software stellen für die Cybersicherheit von vernetzten Geräten ein erhöhtes Gefahrenpotenzial dar. Doch es gibt Maßnahmen, mit denen sowohl Hersteller als auch Nutzer dem etwas entgegensetzen können.
- Code als Sicherheitsrisiko
- Was Nutzer tun können
Im April 2021 wurden mehrere Schwachstellen in einer Reihe von Routern aufgedeckt. Dabei stellte sich heraus, dass eine der Schwachstellen (CVE-2021-20090) nicht nur bei dieser Router-Produktreihe im Speziellen auftrat, sondern in einer herstellerübergreifend genutzten Software. Somit stand nach kurzer Zeit fest, dass weltweit mindestens 20 weitere Geräte von insgesamt 17 verschiedenen Anbietern – darunter Serviceprovider wie Telstra, Telus, Verizon sowie Vodafone und damit Millionen von Geräten und Nutzern – betroffen waren.
Grundsätzlich sind von Hardwareherstellern gemeinsam genutzte Softwarebibliotheken in den letzten Jahren in den Fokus der Sicherheitsexperten gerückt. Das Problem ist längst bekannt: die Wiederverwendung dieser Bibliotheken ohne ordnungsgemäße Sicherheitsvorkehrungen und -prüfungen. Denn herstellerübergreifend eingesetzter Softwarecode oder gemeinsam genutzte Softwarebibliotheken sind in die Projekte mehrerer Anbieter integriert. Wenn Sicherheitslücken ans Tageslicht kommen, wäre es erforderlich, die Auswirkungen in größerem Rahmen zu erfassen und Gegenmaßnahmen einzuleiten. Jedoch kommt in der Praxis meist genau das Gegenteil zum Tragen. So wurde die Schwachstelle des ältesten betroffenen Routers im oben geschilderten Fall bereits im Mai 2008 publik gemacht. Der Software-Anbieter hätte mehr als ein Jahrzehnt Zeit gehabt, diese zu finden und zu schließen. Wie aber konnte eine solche Schwachstelle so lange unentdeckt bleiben?
Anbieter zum Thema
Weitere Bedrohungsszenarien dieser Art
Eine Bedrohung dieser Art ist überaus kritisch, unter anderem in Zeiten von massiv ausgebauter Fernarbeit. Im pandemiebedingt rasch etablierten Homeoffice kommen vielerorts Consumer-Geräte für die Bearbeitung von Geschäftsprozessen zum Einsatz. Die Heimnetzwerke der vielen Remote-Mitarbeiter erweitern die potenzielle Angriffsfläche eines Unternehmens daher enorm. Die Router sind dabei der fragile Schnittpunkt zwischen gut geschützter Unternehmens-umgebung und privaten Netzwerken mit oftmals fragwürdiger Sicherheit. Hinzu kommt, dass sich immer komplexere Ransomware-Angriffe häufen. So nahmen Angreifer im Fall Kaseya zuletzt beispielsweise Managed Service Provider und deren Kunden ins Visier. Andere Akteure versuchten, den spektakulären Erfolg der sich selbst ausbreitenden, zerstörerischen Malware „NotPetya“ zu wiederholen. Und um die Verbreitung entsprechender Schädlinge zu stoppen, ist es bei Schwachstellen in mehrfach verwendeter Software entscheidend, alle nachgelagerten Projekte, Dienste und Kunden zu ermitteln und die Beteiligten zu benachrichtigen. Es liegt nicht in der Zuständigkeit der Privatkunden, dass die zur Verfügung gestellten oder erworbenen Geräte sicher sind. Serviceprovider sind dafür verantwortlich, beispielsweise Router zuvor einer gründlichen Sicherheitsprüfung zu unterziehen und diese zu härten sowie Verfahren umzusetzen, um die Angriffsfläche zu verringern.
