Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Firmware-Updates
Wer neue Geräte mit Internetanschluss kauft, ist gut beraten nach aktueller Firmware zu suchen. Doch auch dies hilft nicht immer die bekannten Lücken zu schließen.
Wer hat das nicht schon mal erlebt: Ein neues Handy, ein neuer Fernseher, eine Digicam, Urlaubsbilder und Musik überall verfügbar: Technik die begeistert. Also dem Spieltrieb nachgeben, in Betrieb nehmen und nutzen!
Leider kann im Zeitalter der Internet- und WLAN-tauglichen Geräte der sofortige Genuss eingeschränkt werden, manchmal sogar einen bitteren Beigeschmack bekommen.
Selbst wer ein aktuelles Modell erwirbt wird mitunter dezent darauf hingewiesen, dass ein Software-Update ansteht. Doch nicht immer ist ein solcher Hinweis selbstverständlich. Bei manchen Geräten sind beispielsweise bestimmte Medien nicht nutzbar, da diese bei der Erstellung der Software noch gar nicht verfügbar waren. Gerade bei eher traditionellen Gerätetypen wie Fernseher oder Digicam ist die Vernetzbarkeit ein schickes Add-On, das, weil trendig, eben dazu gekommen ist. Dass sich damit auch Sicherheitslücken auftun, wird gerne übersehen.
Wer regelmäßig die Veröffentlichung von Sicherheitslücken verfolgt findet immer wieder Meldungen von Geräten, die schwerwiegende Sicherheitslücken in der Firmware aufweisen. Die Bandbreite betroffener Geräte ist groß: Router, netzwerkfähige Kameras, Industriesteuerungssysteme, Drucker, Medienserver etc.
Firmware-Updates
Zu den Gefährdungen durch Lücken in Software-Anwendungen und Fehlern in (Kommunikations-)Protokollen kommen Schwachstellen bzw. Sicherheitslücken in der Firmware oder deren Konfigurationsoberfläche.
Im Zuge des Patch-Managements sollte die regelmäßige Prüfung auf Software-Updates für jede installierte Software bereits fester Bestandteil des Tagesgeschäftes sein, sofern dies nicht schon durch Automatismen erledigt wird. Hinzu kommt nun auch die Notwendigkeit der regelmäßigen Suche nach Firmware-Updates und Firmware-Lücken.
Stehen Firmware-Updates bereit, sollten diese ebenfalls zeitnah installiert werden. Entweder existieren bereits Automatismen oder man findet diese über die Seiten der Hersteller. Dabei treten die gleichen Probleme auf wie bei Software-Anwendungen: Ist eine Lücke bekannt, wird diese auch ausgenutzt.
Gerne werden in einschlägigen Quellen, wie z.B. auf Metasploit oder Bugtraq, Sicherheitslücken genannt, die noch nicht durch ein Sicherheits-Update geschlossen wurden, sogenannte Zero-Day-Lücken. Die Verarbeitung der Lücken in Tools und Meldungen ist jedoch ein zweischneidiges Schwert. Einerseits dienen diese Quellen Admins und Sicherheitsdienstleistern als Info und Werkzeug, um Netzwerke sicherer zu machen. Auf der anderen Seite helfen sie auch der Schädlingsindustrie ihre Tools auf die Lücken abzustimmen.
Warum noch eine Suche nach Lücken – genügt nicht die Installation der bereitgestellten Updates?
So mancher Hersteller tut sich schon schwer im Umgang mit Sicherheitslücken in seiner Software. Wenn es nun also auch noch um Firmware geht, also den hardware-nahen Teil, der für die Funktion und den Betrieb der Hardware selbst und deren Schnittstellen zu diverser Software erforderlich ist – quasi dessen Betriebssystem – wird es für die Hersteller etwas aufwändiger.
Eine sehr große Zahl an geschlossenen, aber auch an weiterhin offenen bekannten Lücken nach jedem Turnus spricht für sich, vor allem, wenn sich dieser über ein Jahr erstreckt. Also ist Vorsicht geboten: Bitte nicht blind auf den Status der Firmware-Versionen als „aktuell“ vertrauen, da auch diese noch verwundbar sein können!
Mitunter werden je nach Einstufung in Gefährdungsklassen auch Umgehungsstrategien/ Workarounds veröffentlicht. Es liegt dann im Ermessen des Nutzers, ob er die Komponente – soweit möglich – sogar temporär stilllegt.
Fehlende Updates legen Anbieterwechsel und Entsorgung nahe
Die Suche auf Hersteller-Seiten, www.heise.de, www.golem.de, www.handelsblatt.com und diversen überregionalen Zeitungen und Magazinen etc. zeigt immer wieder, dass mitunter öffentlich und langwierig insistiert werden muss, bevor Updates zur Verfügung gestellt werden.
Dabei sollte jedoch jedem klar sein, dass durch diese Veröffentlichungspraxis im Internet auch Trittbrettfahrer bekannte Lücken verstärkt nutzen können: Schädlinge werden über einfach zu bedienende Baukästen für diese Lücken maßgeschneidert. Ist der Zugriff erst erfolgt, dient dies als Sprungbrett ins lokale Netzwerk.
Wer die aktuelle Diskussion über Wirtschaftsspionage verfolgt, sollte zumindest im Auge behalten, ob sich in seinen Daten nicht etwas befindet, das aus Sicht eines Wettbewerbers, und sei es auf einem anderen Kontinent, von Interesse sein könnte: Auf diversen Messen werden selbst für günstige Produkte noch Plagiate entdeckt. Gibt es schützenswerte Informationen, sollte gerade das Patch Management einen hohen Stellenwert bekommen, da dieses auch die Sicherheitssoftware in Hinblick auf neue Schädlinge und Angriffe unterstützt.
Werden Firmware-Updates eines Herstellers für bereits bekannte Lücken nur stark verzögert und unzureichend zur Verfügung gestellt, sollte die Komponente stillgelegt werden. Gerade in der heutigen Vernetzung sollte eine Kaufentscheidung nicht nur auf Basis der Anschaffungskosten getroffen werden, sondern auch im Hinblick auf Support bzw. Service-Level.
Bild: © Klicker / pixelio.de
Ein Kommentar zu Firmware-Updates
Schreiben Sie einen Kommentar

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

UPDATE: BSI empfiehlt, dringend Fritz!Box-Update einzuspielen
Das BSI (https://www.bsi.bund.de/DE/Presse/Kurzmitteilungen/Kurzmit2014/Update_FritzBox_180214.html) warnt vor einer kritischen Sicherheitslücke bei AVM-Routern.