Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Pwn2Own und der Handel mit Sicherheitslücken
Die einen veranstalten einen gut dotierten Wettbewerb, um Sicherheitslücken zu schließen.Die anderen verdienen gutes Geld damit, die Lücken nur ausgewählten Kunden zur Verfügung zu stellen.
Vor kurzem fand wieder einmal der Wettbewerb Pwn2own statt. Hierbei geht es darum, neue, unbekannte kritische Sicherheitslücken zu finden. HPs Initiative ZDI lässt sich dabei nicht lumpen: Ein Preisgeld von insgesamt 500.000 US-Dollar für Zero-Day-Lücken ist schon ordentlich.
Beim „Mobile Pwn2Own“ wurden auch die großen Mobil-Betriebssysteme erfolgreich angegriffen. Die gravierendsten Lücken betreffen aber wohl iOS. Durch Bugs im Safari-Browser auf Apples iPhone 5S gelang es Hackern, aus der Sandbox-Umgebung der App auszubrechen. Das öffnet Tür und Tor, beliebigen Schadcode auf den Geräten auszuführen.
Jenseits dieser Wettbewerbe zahlen jedoch Firmen wie Paypal und Facebook in der Regel Zehntausende für Hinweise auf Sicherheitslücken in ihrer eigenen Software.
Grundsätzlich ist es nicht schlecht, die Sicherheit des eigenen Produktes in einem Wettbewerb durch externe Spezialisten prüfen zu lassen. Die Höhe des Preisgeldes ist natürlich ein echter Anreiz Lücken aufzudecken. Zudem bleiben die Details zu den Lücken unter Verschluss, so dass die Hersteller nachbessern können und deren Kunden nicht über Gebühr einer Gefährdung ausgesetzt sind.
Handel mit Lücken
Nachdenklich stimmt mich die Aussage zu den Wettbewerben: „Sicherheitsforscher hingegen jammern, dass die Informationen weit unter Wert verschleudert wurden; auf dem Schwarzmarkt, auf dem sich unter anderem auch Geheimdienste eindecken, werden funktionsfähige Remote-Code-Execution-Exploits für sechsstellige Beträge gehandelt.“ Diese Aussage ist insofern interessant, da man davon ausgehen kann, dass es sich hierbei entweder um unerfahrene Sicherheitsforscher handelt – oder um zwar öffentlich noch unbekannte, jedoch leidlich ausgenutzte Lücken handelt, die in einem letzten Schritt nochmals versilbert werden.
Kevin Mitnick, ehemaliger Hacker, hat beispielsweise in 2014 sein Geschäft um ein weiteres Angebot erweitert: eine Handelsplattform für Zero-Day-Exploits, die mit Premium-Lücken ab 100.000 $ handelt. Darüber hinaus gibt es, zusätzlich zu anderen Geheimdiensten, auch in Deutschland Überlegungen, neben dem so genannten „Staatstrojaner“ auch Zero-Day-Exploits einzukaufen.
Sicherheit ist relativ
Zusammen mit den in meinem letzten Beitrag vorgestellten Lücken im BIOS und dem Beitrag von Herrn Feichtner „Bedrohung durch manipulierte USB-Geräte“ ergibt sich damit eigentlich ein recht düsteres Bild zur Sicherheitslage von IT-Systemen: Kompromittierte Hardware, Software bis hin zum angreifbaren Anwender –evtl. unterstützt durch eigene Interessen oder die Lebenslage des Mitarbeiters.
Ja, so ist das!1
Aber damit ist die Situation direkt vergleichbar mit den Sicherheitsvorkehrungen im eigenen Heim: Es würde auch kein gesunder Geist auf die Idee kommen, auf Türen, Schlösser, einbruchhemmende Fenster oder Alarmanlage zu verzichten, nur weil es am langen Ende einfach nichts nützt. Wer unbedingt einbrechen will, wird es irgendwann immer schaffen! Aber dennoch gibt es viele, die es zwar versuchen – aber aufgrund der Hürden scheitern!
Grundsätzlich gilt jedoch immer: Je uninteressanter das Objekt ist und je höher die Hürden liegen, desto weniger schaffen es, diese zu überwinden. Jeder Verantwortliche muss selbst entscheiden, wieviel Sicherheit er für vertretbar und angemessen hält.
In diesem Sinne:
Achten Sie künftig nicht nur auf Sicherheitsupdates für Software, sondern auch für Sicherheitsupdates bei Hardware im Sinne von Firmware oder BIOS-Updates. Und für die Mitarbeiter, die mit IT umgehen: Je mehr Gespür jemand für die Untiefen der IT besitzt, desto weniger wird etwas passieren.
Bild: © Uta Herbert / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare