Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Malware im BIOS
Früher nur umständlich durchzuführen, sind BIOS-Updates deutlich komfortabler geworden. Hat sich hier jedoch Malware eingenistet, hilft auch moderne Antiviren-Software oder die Neu-Installation des Betriebssystems nichts!
Um einen PC ans Laufen zu bringen, muss auf dem Motherboard neben allerlei elektrischen Bauteilen, das BIOS, „Basic Input/Output System“ dafür sorgen, dass alle Hardwarekomponenten in Betrieb genommen werden können, das Betriebssystem geladen wird und dieses die Komponenten zur Laufzeit auch verwenden kann. Eine zentrale Rolle also – und damit kritisch für die Betriebsfähigkeit eines PC.
„BIOS“
Was waren das früher noch für Zeiten als das Bios noch gebrannt wurde. Unveränderlich! Fest verlötet. Vereint bis zum Ende. Gut es hatte auch Nachteile durch fehlende Kompatibilität mit neuer Hardware. Dann kamen die (wieder-)beschreibbaren Komponenten.
1981 entwickelt, wurde es Anfang 2000 den Anforderungen moderner Hardware und Betriebssysteme nicht mehr gerecht. Ein Punkt ist die vom System verwaltbare Festplattengröße. Mit der Einführung von 64-Bit-Prozessoren kam dann der Bedarf an 64-BitBetriebssystemen und einem dafür tauglichem BIOS. Nachfolger war zunächst das Extensible Firmware Interface (EFI), dann das Unified Extensible Firmware Interface (UEFI). Das BIOS ist mächtiger geworden. Es sind neue Funktionen hinzugekommen, die unabhängig vom Betriebssystem operieren können.
Auch ich habe ein Motherboard, mit dem ich ohne den Einsatz eines „Betriebssystems“ wie Windows im Internet surfen kann. Was bedeutet das: Es ist ein Netzwerk-Zugriff möglich und auch das Internet-Protokoll wird problemlos verarbeitet. Das BIOS-Update kann ich bequem unter Windows durchführen.
Türe auf für nachhaltige Sicherheitsprobleme
Inzwischen ist es also möglich, aus dem Betriebssystem in das BIOS zu schreiben. Erst einmal also eine gute Sache, da man nun von einer Oberfläche aus das komplette System managen kann.
Der Teufel steckt jedoch im Detail:
Wenn der Anwender dorthin schreiben kann, tut dies letztlich Software. Doch nicht jede Software agiert im Sinne des Anwenders: Zugunsten unserer Bequemlichkeit haben wir eine Türe geöffnet, durch die nun auch Malware schreitet.
Dabei haben wir vergessen, dass in der Architektur von Sicherheitsvorkehrungen Abhängigkeiten bestehen.
Der Großteil unserer Sicherheitsvorkehrungen beruht darauf, dass Sicherheit von außen nach innen und von Unten nach Oben stattfindet. Also Schutz durch abschließbare Räumlichkeiten, Schutz durch Bootpasswort und Passwort vor Änderungen in der Konfiguration des BIOS. Dort ist festgelegt, dass kein Booten des Betriebssystems von einem externen Datenträger erfolgen darf, der die Berechtigungen und Sicherheitsvorkehrungen des Betriebssystems aushebeln könnte. Dann folgt der Schutz vor Installation durch unberechtigte Personen. Ein „Neu installiertes Betriebssystem“, das sauber, also frei von Malware ist, ist Voraussetzung für — softwarebasierte Lösungen- zum Schutz vor Malware. etc.
Die Wenigsten wissen, dass die meisten normalen Antivirenprogramme sich einer eingebauten Schnittstelle des Betriebssystems bedienen, um die Dateien eines PCs zu scannen. Ist diese kompromittiert, kann man sich nicht mehr auf die Ergebnisse des Scanners verlassen. Diese Art der Malware nennt sich dann „Rootkit“. Die Entdeckung erfordert zumeist ein sogenanntes Live-System oder einen anderen „sauberen“ PC, der die Festplatte prüft.
Und nun stellen Sie sich vor, dass es mit der neuen Art von Schädlingen kein nachweislich sauberes System mehr gibt:. Die Schädlinge sitzen da, wo kein Virenscanner hinkommt. Nun schützen weder Live-Systeme, die von DVD gebootet werden, noch neu installierte PCs. Es wird die Sicherheitsarchitektur des Systems unterwandert. Einzige Lösung: ein neues Firmware-Update einspielen. Allerdings natürlich aufgrund eines Verdachts, denn wie gesagt: ein Virenscanner kommt dort nicht hin.
Klasse! Was für ein technischer Fortschritt. Auf dem Schwarzmarkt wird viel Geld für Sicherheitslücken gezahlt – nicht nur von Kriminellen.
Sicherheitsvorkehrungen der Hersteller
Natürlich ist so ein Schreibzugriff nicht ganz trivial. Aber bereits im Januar 2015 wurde demonstriert, dass dies möglich ist. Und das US-Cert warnte vor weiteren UEFI-BIOS-Lücken.
Ach ja, ein kleiner Hinweis am Rande: Ein mit Windows 8 verkaufter PC läuft auf jeden Fall im UEFI-Modus. Dies verlangt die Spezifikation. Grundsätzlich wäre dies nicht schlecht: Mit Windows 10 will Microsoft Hardware noch stärker gegen Malware-Angriffe schützen und schreibt außer UEFI Secure Boot nun auch ein Trusted Platform Modules (TPM) vor. Secure Boot soll verhindern, dass sich Schadsoftware vor dem Start eines Betriebssystems einnistet. Im Secure-Boot-Modus lädt die Firmware des Desktop-Rechners oder Notebooks ausschließlich digital signierte UEFI-Bootloader.
Allerdings ist Microsoft nicht der einzige Anbieter auf dem Markt und nicht jeder vertrauenswürdige Anbieter lässt sich zertifizieren. Zudem werden interessierte Leser sicher registriert haben, dass eine Zertifizierung die Hürden für eine Infektion hoch legt, diese jedoch auch nicht verhindern kann. Zumal manchmal Zertifikats-Anbieter auch Fehler machen bzw. Lücken bei der Vergabe haben.
Fazit
Künftig darf also auch über die Seriosität von Motherboards diskutiert werden, ebenso über die Vertriebskanäle derselben oder die Quelle des Firmware-Updates.
Wer die Meldungen über Schwachstellen bei Routern oder USB-Sticks verfolgt hat weiß, dass sich nicht jeder Hersteller bemüßigt fühlt, zeitnah oder überhaupt eine Lösung zur Verfügung zu stellen.
Die Meldung dürfte damit auch all diejenigen erfreuen, die sich um die Updates im Firmen-Netzwerk kümmern dürfen: Sie haben nun eine Baustelle mehr zu versorgen.
Ein Trost zu Schluss: Es gibt viele andere und leichter Wege, ein System dauerhaft zu kompromittieren. Sicherheit ist eben nur eine Hürde – und es obliegt jedem Verantwortlichen zu entscheiden, wie hoch diese liegen soll oder muss.
Bild: © Sebastian Staendecke, modern-props / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare