Pressemitteilung

GI fordert Veröffentlichung von Sicherheitslücken in Software

Anlässlich erfolgreicher vermutlich chinesischer Angriffe auf Computer der Bundesregierung fordert die Gesellschaft für Informatik e.V. (GI) die Veröffentlichung aller erkannten Sicherheitslücken in Software. Die äußerst aufwändigen Angriffe auf Regierungscomputer konnten selbst von einschlägigen Bundesbehörden erst nach Monaten abgewehrt werden. Dies deutet daraufhin, dass Viren, Würmer oder Trojanische Pferde nicht benutzt wurden; vielmehr wurden individuelle und spezifische Angriffsverfahren entwickelt und eingesetzt, die nur den Angreifern bekannte Sicherheitslücken ausnutzen. Solche Angriffe - auch aus anderen Ländern - dürften auch zur Wirtschaftsspionage eingesetzt werden.

Die GI warnt daher Unternehmen, Behörden und Private vor unveröffentlichten Sicherheitslücken (Less-Than-Zero-Day) in aller Art von Software wie Kommunikationssoftware, Betriebssystemen, Anwendungs- und Sicherheitssoftware wie Virenscanner, Firewalls und Intrusion-Detection- und Intrusion-Protection-Systemen. Gegen diese zum Teil seit Jahren von Kriminellen genutzten Lücken gibt es keinen Schutz, sofern die Lücken nicht veröffentlicht werden. Im Gegenteil werden einige dieser Lücken von Behörden zur so genannten heimlichen Online-Untersuchung eingesetzt, was die Glaubwürdigkeit behördlicher Ratschläge zur IT-Sicherheit stark beeinträchtigt.

Die GI fordert die einschlägigen Behörden daher dringend auf,

  1. alle ihnen bekannten unveröffentlichten Sicherheitslücken in Software unverzüglich zu veröffentlichen, damit sich Unternehmen und Private rechtzeitig dagegen wehren können und
  2. die wichtigste Software auf bisher nicht veröffentlichte Sicherheitslücken zu untersuchen und diese ebenfalls zu veröffentlichen und
  3. alle Bürgerinnen und Bürger – insbesondere Unternehmen - deutlich vor den Risiken solcher Sicherheitslücken zu warnen und klarzustellen, dass diese Sicherheitslücken bisher überhaupt nicht veröffentlicht wurden.

Die GI fordert ferner den Gesetzgeber auf, u.a. Behörden zur Veröffentlichung aller ihnen bekannten Sicherheitslücken zu verpflichten und die Verheimlichung von Sicherheitslücken zu sanktionieren. Weitere technische Erläuterungen finden Sie im Anhang.

Die Gesellschaft für Informatik e.V. (GI) ist eine gemeinnützige Fachgesellschaft zur Förderung der Informatik in all ihren Aspekten und Belangen. Gegründet im Jahr 1969 ist die GI mit ihren heute rund 24.500 Mitgliedern die größte Vertretung von Informatikerinnen und Informatikern im deutschsprachigen Raum. Die Mitglieder der GI kommen aus Wissenschaft, Wirtschaft, Lehre und Forschung.

Zero-Day Exploits

Nach dem Stand der Technik enthält jede Art von Software Sicherheitslücken, die ein Eindringen in IT-Systeme ermöglichen, wobei bekannte Sicherheitsmaßnahmen wie Firewalls und Anti-Viren-Programme umgangen werden. Die Sicherheitslücke wird häufig mit einem Angriffsprogramm (Exploit) ausgenutzt. Die Entwicklung dieser Exploits wird durch Werkzeugkästen erleichtert, die ohne weiteres im Internet erhältlich sind.

Erkannte Sicherheitslücken werden den Produktherstellern oft gemeldet oder auch publiziert. Sie werden von den Herstellern meist zusammen mit einer (nach Bewertung der Sicherheitslücke) erstellten Fehlerkorrektur (Fix, Patch, Update) veröffentlicht; manche Unternehmen und auch Behörden weisen anschließend darauf hin. Allerdings bleiben auch manche sicherheitsrelevanten Fehler in Software unkorrigiert.

Zero-Day Exploits sind Angriffsprogramme auf veröffentlichte Sicherheitslücken; die Angriffe werden unmittelbar nach der Veröffentlichung des Exploits eingesetzt – aber jedenfalls vor dem Einspielen eines entsprechenden Patch (daher Zero-Day). Diese Exploits sind bei allen ungepatchten IT-Systemen (in Ermangelung von Gegenmaßnahmen) in der Regel erfolgreich.

Sicherheitslücke: Less-Than-Zero-Day

Less-Than-Zero-Day Exploits sind Angriffsprogramme, die bisher unveröffentlichte Sicherheitslücken ausnutzen.

Less-Than-Zero-Day Exploits sind erfolgreich, weil sie von Sicherheitssoftware wie Firewalls, Intrusion–Detection- oder Intrusion-Prevention-Systemen nicht erkannt werden (können): Signaturen für diese Angriffe liegen nicht vor, denn die Angriffe sind – genauso wie die ausgenutzte Sicherheitslücke – noch unbekannt.

Bekannt ist, dass Einzelpersonen und Unternehmen zielgerichtet Sicherheitslücken in den o.g. Programmen suchen – z.T. auch im Auftrag. Sie verkaufen die programmierten Exploits an Unternehmen und einschlägige Behörden - die sie ebenfalls nutzen und genauso wenig veröffentlichen. Auch Serviceanbieter suchen von sich aus nach Sicherheitslücken in Programmen.

Für die Weitergabe einer Sicherheitslücke werden bis zu 10.000 € im kommerziellen Bereich und für die Erstellung eines Exploits bis zu € 50.000 im kriminellen Bereich bezahlt. Einige Unternehmen verkaufen Informationen über unveröffentlichte Sicherheitslücken an ihre Kunden wie Unternehmen und einschlägige Behörden. In 2007 ist ein regelrechter Markt für Exploits entstanden bis hin zu (halb-) öffentlichen Versteigerungen.

Risiken für Unternehmen und Private

Less-Than-Zero-Day Exploits werden weit häufiger eingesetzt, als gemeinhin angenommen. Die Schäden mit der seit Jahren mit Less-Than-Zero-Day Exploits praktizierten Wirtschaftsspionage dürften extrem hoch sein. Ihre immense Bedeutung für die Wirtschaftsspionage wird allerdings bisher nur ausnahmsweise erkannt und es wird nur vereinzelt - unbewertet - auf die unveröffentlichten Sicherheitslücken und ihre Ausnutzung durch Kriminelle hingewiesen; von den zuständigen Behörden werden sie erstaunlicherweise bisher nicht als Risiko genannt.

Die Programmierer der Less-Than-Zero-Day Exploits können diese unkontrollierbar an jedermann weltweit (gegen Entgelt) weitergeben, so dass damit Wirtschaftsspionage betrieben werden kann.

Durch die Veröffentlichung von Zero-Day Exploits und Patches entsteht bei Unternehmen und Privaten der falsche Eindruck, alle Sicherheitslücken würden veröffentlicht. Hier müssen Sicherheitsunternehmen und Behörden gegensteuern und die breite Öffentlichkeit für Less-Than-Zero-Day Angriffe sensibilisieren.

Mit Less-Than-Zero-Day Exploits können abgeschaltete Geräte eingeschaltet werden wie z.B. angeschlossene Mikrofone und Kameras. Eingeschleuste Programme können von Dritten wie Nachrichtendiensten, Konkurrenzunternehmen etc. missbraucht werden und z.B. IT-Systeme für den Zugriff Unberechtigter vollständig öffnen – z.B. für Bot-Netze. Der gesamte Internetverkehr (inklusive der E-Mails) kann auch umgeleitet werden. Im Einzelfall sind in den USA auch schon einem Betroffenen (US-Offizier) nachweislich strafrechtlich relevante (kinderpornographische) Daten untergeschoben worden.

Mögliche Schutzmaßnahmen gegen Less-Than-Zero-Day Exploits

Mit Anti-Viren-Programmen, Honeypot-Systemen und –Netzen und Intrusion-Detection- und Intrusion-Protection-Systemen kann versucht werden, unberechtigte Prozesse zu erkennen.

Verschlüsselung der Daten und Dateinamen macht es einem Angreifer schwerer, weil er auf eine Entschlüsselung im Hauptspeicher warten muss, bis er nutzbare Informationen erhält. Verschlüsselung ist allerdings - entgegen weit verbreiteter Ansicht – kein Allheilmittel: Dateisysteme kopieren Dateien aus 'Sicherheits'- und Verwaltungsgründen oftmals auch vor ihrer Verschlüsselung oder nach ihrer Entschlüsselung an mehrere Stellen, die ein Angreifer einsehen kann.

Die einzige nachhaltig widerstandsfähige Sicherheitsmaßnahme sind Stand-Alone-Sys­teme, die keinerlei physische Verbindung (auch nicht über andere IT-Systeme, Netze oder Modems) zum Internet besitzen; sie werden dementsprechend bereits von vielen sicherheitsbewussten Unternehmen zur Verarbeitung ihrer wertvollsten Daten genutzt.

Bei Veröffentlichung Beleg erbeten. Vielen Dank!

30. August 2007, Cornelia Winter, Tel. 0228/302-147 

Gesellschaft für Informatik e.V. (GI)
Ahrstr. 45
53175 Bonn
Tel 0228/302-145 (Geschäftsstelle)
Fax 0228/302-167

Für weitere Fragen stehen wir Ihnen gerne unter Kontakt zur Verfügung.

Wenn Sie unsere Pressemeldungen regelmäßig erhalten möchten, tragen Sie sich bitte in den GI-Presseverteiler ein: E-Mail

Bitte geben Sie Ihren Namen und Redaktion an.