Always change a running system

"Never change a running system" lautet ein alter Grundsatz. Doch davon gilt es sich zu verabschieden - wer seine IT-Systeme wirklich schützen will, muss Sicherheit als kontinuierlichen Prozess verstehen – und in der Organisation entsprechend verankern.

Computersysteme haben längst Einzug in alle Lebensbereiche gehalten. Durch den Einsatz dieser Technologien wurde und wird unser Leben zweifelsohne einfacher. Ob es sich um die Fahrzeugsteuerung in einem PKW oder um die digitale Zutrittssteuerung im Büro handelt – in vielen Fällen sind wir von diesen Systemen abhängig und müssen uns auf eine ordnungsgemäße Funktion verlassen. Die Eigenschaften von IT-Systemen werden maßgeblich durch ihre Software festgelegt. Dies reicht von integrierten Steuerungsanlagen bis hin zu Anwendungssoftware auf PC oder Notebook. So unterschiedlich verschiedene Softwareprodukte sein können, eines haben sie jedoch gemeinsam: Alle enthalten Fehler, die zu Sicherheitslücken führen können.

Gerade die bekannte Sicherheitslücke wird gefährlich

Der Ursprung von Fehlern und damit Sicherheitslücken in IT-Systemen kann vielfältig sein. So fand beispielsweise ein Hacker im Jahr 2008 heraus, dass eine unzureichende Spezifizierung in den Kassensystemen des Discounters Lidl zu deren Absturz führen konnte.  Die im April 2014 bekannt gewordene Schwachstelle in der Verschlüsselungsbibliothek Open-SSL mit dem Namen „Heartbleed“ resultierte hingegen aus einem Implementierungsfehler. Unabhängig von Ursache und Auswirkung stellen Hersteller in der Regel Software-Updates bereit, welche bekannt gewordene Fehler beheben sollen. Gleichzeitig werden im Internet aber Informationen und Werkzeuge zur Ausnutzung dieser Sicherheitslücken gehandelt, mit denen nicht nur technisch versierte Nutzer großen Schaden anrichten können. Da eine Schwachstelle zum Zeitpunkt der Bereitstellung einer Fehlerbehebung (oder kurz danach) meist öffentlich bekannt ist, kann sie durch Angreifer aktiv ausgenutzt werden.

Die Betreiber von IT-Systemen sind daher gut beraten, Aktualisierungen zeitnah einzuspielen. Dies ist im Fall von regulärer Anwendungssoftware auf einem PC vergleichsweise einfach – kann im Fall von dezentralen und nicht vernetzen Systemen jedoch einen erheblichen Aufwand bedeuten. Ein aktuelles Beispiel dafür ist die Rückrufaktion von VW, bei der wegen des Abgasskandals allein in Deutschland hunderttausende Fahrzeuge zum Softwareupdate in die Werkstatt müssen.

Veraltete IT-Systeme – keine Randerscheinung

In der Realität funktionieren Updateprozesse oft nicht reibungslos. In einigen Fällen stellen Softwarehersteller Aktualisierungen gar nicht oder nicht zeitnah zur Verfügung. Spätestens, wenn ein Produkt den regulären Lebenszyklus verlässt, werden keine neuen Versionen mehr bereitgestellt. In anderen Fällen scheitert der Prozess auf Seiten des Betreibers eines Systems. Die Gründe dafür sind vielfältig: zu hohe Komplexität beim Aktualisierungsvorgang, ein fehlender Prozess, mangelndes Bewusstsein oder Kompatibilitätsprobleme, um nur einige zu nennen. Ein alltägliches Beispiel dafür sind die Router von privaten Internetanschlüssen. Dem Benutzer fehlen oft das Bewusstsein und die Kenntnisse, um seinen Router auf einem aktuellen Stand zu halten. Automatisch ablaufende Updateroutinen gibt es meist nicht, und so steht die Sicherheitskomponente des Netzwerks selbst ungeschützt im Internet. Heise etwa hat mit automatisierten Scans verwundbare Geräte in sechsstelliger Höhe gefunden und nennt die Lage „nach wie vor desaströs“.

Sehr schnell reagieren mussten Administratoren auf die bereits angesprochene „Heartbleed“- Schwachstelle in OpenSSL. Hier führt ein Programmierfehler dazu, dass Angreifer verschlüsselte Kommunikation mitlesen können. Sicherheits-Experten wie Bruce Schneier bezeichneten die Auswirkungen der Schwachstelle als Katastrophe. In Anbetracht dieser Bedrohungslage sollte eigentlich davon auszugehen sein, dass Administratoren ihre Systeme zeitnah aktualisieren. Doch eine Studie der Cybersecurity-Firma Venafi aus dem Jahr 2015 zeigt, dass selbst zwölf Monate nach Bekanntwerden von Heartbleed der Großteil der öffentlich erreichbaren Server der 2.000 größten Unternehmen weiterhin verwundbar blieb.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Always change a running system
2. Windows XP: Ablösung trotz Vorlauf eine Herausforderung
3. Sicherheit durch regelmäßiges Ausmustern

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Meetingbox Huus Meet Pro im Test

Schöner meeten

Digitale Gesundheitsdaten

Bundesweiter Start der E-Patientenakte rückt näher

KI-Tools für die Lehre

Baustein für bessere Bildung

Kundenbarometer Internet B2B 2025

Welcher Internetanbieter überzeugt?

Eintritt in Europas größten TK-Markt

Schwedische Vinnergi beteiligt sich an deutscher Vivax Net

Weitere Artikel zu Viren-/Malware-Schutz

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Mobiles Gerätemanagement

Samsung richtet Knox-Services neu aus