DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Firmware-Updates

Firmeware Update

Wer neue Geräte mit Inter­net­an­schluss kauft, ist gut beraten nach aktu­eller Firmware zu suchen. Doch auch dies hilft nicht immer die bekannten Lücken zu schließen.

 

 

Wer hat das nicht schon mal erlebt: Ein neues Handy, ein neuer Fern­seher, eine Digicam, Urlaubs­bilder und Musik überall ver­fügbar: Technik die begeistert. Also dem Spiel­trieb nach­geben, in Betrieb nehmen und nutzen!

Leider kann im Zeit­alter der Internet- und WLAN-tau­g­­lichen Geräte der sofortige Genuss ein­ge­schränkt werden, manchmal sogar einen bit­teren Bei­geschmack bekommen.

Selbst wer ein aktu­elles Modell erwirbt wird mit­unter dezent darauf hin­ge­wiesen, dass ein Software-Update ansteht. Doch nicht immer ist ein solcher Hinweis selbst­ver­ständlich. Bei manchen Geräten sind bei­spiels­weise bestimmte Medien nicht nutzbar, da diese bei der Erstellung der Software noch gar nicht ver­fügbar waren. Gerade bei eher tra­di­tio­nellen Gerä­te­typen wie Fern­seher oder Digicam ist die Ver­netz­barkeit ein schickes Add-On, das, weil trendig, eben dazu gekommen ist. Dass sich damit auch Sicher­heits­lücken auftun, wird gerne über­sehen.
 
Wer regel­mäßig die Ver­öf­fent­li­chung von Sicher­heits­lücken ver­folgt findet immer wieder Mel­dungen von Geräten, die schwer­wie­gende Sicher­heits­lücken in der Firmware auf­weisen. Die Band­breite betrof­fener Geräte ist groß: Router, netz­werk­fähige Kameras, Indus­trie­steue­rungs­systeme, Drucker, Medi­en­server etc.

Firmware-Updates

Zu den Gefähr­dungen durch Lücken in Software-Anwen­­dungen und Fehlern in (Kommunikations-)Protokollen kommen Schwach­stellen bzw. Sicher­heits­lücken in der Firmware oder deren Kon­fi­gu­ra­ti­ons­ober­fläche.
 
Im Zuge des Patch-Mana­ge­­ments sollte die regel­mäßige Prüfung auf Software-Updates für jede instal­lierte Software bereits fester Bestandteil des Tages­ge­schäftes sein, sofern dies nicht schon durch Auto­ma­tismen erledigt wird. Hinzu kommt nun auch die Not­wen­digkeit der regel­mä­ßigen Suche nach Firmware-Updates und Firmware-Lücken.

Stehen Firmware-Updates bereit, sollten diese eben­falls zeitnah instal­liert werden. Ent­weder exis­tieren bereits Auto­ma­tismen oder man findet diese über die Seiten der Her­steller. Dabei treten die gleichen Pro­bleme auf wie bei Software-Anwen­­dungen: Ist eine Lücke bekannt, wird diese auch aus­ge­nutzt.

Gerne werden in ein­schlä­gigen Quellen, wie z.B. auf Met­asploit oder Bugtraq, Sicher­heits­lücken genannt, die noch nicht durch ein Sicher­heits-Update geschlossen wurden, soge­nannte Zero-Day-Lücken. Die Ver­ar­beitung der Lücken in Tools und Mel­dungen ist jedoch ein zwei­schnei­diges Schwert. Einer­seits dienen diese Quellen Admins und Sicher­heits­dienst­leistern als Info und Werkzeug, um Netz­werke sicherer zu machen. Auf der anderen Seite helfen sie auch der Schäd­lings­in­dustrie ihre Tools auf die Lücken abzu­stimmen.

Warum noch eine Suche nach Lücken – genügt nicht die Instal­lation der bereit­ge­stellten Updates?
 
So mancher Her­steller tut sich schon schwer im Umgang mit Sicher­heits­lücken in seiner Software. Wenn es nun also auch noch um Firmware geht, also den hardware-nahen Teil, der für die Funktion und den Betrieb der Hardware selbst und deren Schnitt­stellen zu diverser Software erfor­derlich ist – quasi dessen Betriebs­system – wird es für die Her­steller etwas auf­wän­diger.
 
Eine sehr große Zahl an geschlos­senen, aber auch an wei­terhin offenen bekannten Lücken nach jedem Turnus spricht für sich, vor allem, wenn sich dieser über ein Jahr erstreckt. Also ist Vor­sicht geboten: Bitte nicht blind auf den Status der Firmware-Ver­­­sionen als „aktuell“ ver­trauen, da auch diese noch ver­wundbar sein können!
 
Mit­unter werden je nach Ein­stufung in Gefähr­dungs­klassen auch Umgehungsstrategien/ Work­arounds ver­öf­fent­licht. Es liegt dann im Ermessen des Nutzers, ob er die Kom­po­nente – soweit möglich – sogar tem­porär stilllegt.

Feh­lende Updates legen Anbie­ter­wechsel und Ent­sorgung nahe

Die Suche auf Her­steller-Seiten, www.heise.de, www.golem.de, www.handelsblatt.com und diversen über­re­gio­nalen Zei­tungen und Maga­zinen etc. zeigt immer wieder, dass mit­unter öffentlich und lang­wierig insis­tiert werden muss, bevor Updates zur Ver­fügung gestellt werden.

Dabei sollte jedoch jedem klar sein, dass durch diese Ver­öf­fent­li­chungs­praxis im Internet auch Tritt­brett­fahrer bekannte Lücken ver­stärkt nutzen können: Schäd­linge werden über einfach zu bedie­nende Bau­kästen für diese Lücken maß­ge­schneidert. Ist der Zugriff erst erfolgt, dient dies als Sprung­brett ins lokale Netzwerk.

Wer die aktuelle Dis­kussion über Wirt­schafts­spionage ver­folgt, sollte zumindest im Auge behalten, ob sich in seinen Daten nicht etwas befindet, das aus Sicht eines Wett­be­werbers, und sei es auf einem anderen Kon­tinent, von Interesse sein könnte: Auf diversen Messen werden selbst für günstige Pro­dukte noch Pla­giate ent­deckt. Gibt es schüt­zens­werte Infor­ma­tionen, sollte gerade das Patch Management einen hohen Stel­lenwert bekommen, da dieses auch die Sicher­heits­software in Hin­blick auf neue Schäd­linge und Angriffe unter­stützt.

Werden Firmware-Updates eines Her­stellers für bereits bekannte Lücken nur stark ver­zögert und unzu­rei­chend zur Ver­fügung gestellt, sollte die Kom­po­nente still­gelegt werden. Gerade in der heu­tigen Ver­netzung sollte eine Kauf­ent­scheidung nicht nur auf Basis der Anschaf­fungs­kosten getroffen werden, sondern auch im Hin­blick auf Support bzw. Service-Level.

Bild:  © Klicker / pixelio.de

Ein Kommentar zu Firmware-Updates

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.