IT-Sicherheit durch stetige Veränderung

Always change a ­running system

| Autor / Redakteur: Sven Malte Sopha & Jan Graßhoff* / Susanne Ehneß

(Bild: Pixabay)

Computersysteme haben Einzug in alle Lebensbereiche gehalten. Durch ihren Einsatz wurde und wird unser Leben zweifelsohne einfacher. In vielen Fällen sind wir von diesen Systemen abhängig und müssen uns auf eine ordnungsgemäße Funktion verlassen – von der Fahrzeugsteuerung im PKW bis zur digitalen Zutrittssteuerung im Büro.

Die Eigenschaften von IT-Systemen werden maßgeblich durch ihre Software festgelegt. So unterschiedlich Softwareprodukte sein können, eines haben sie gemeinsam: Alle enthalten Fehler, die zu Sicherheitslücken führen können. Wer diesem Problem sinnvoll begegnen will, muss sich von dem ­alten Grundsatz „Never change a running system“ verabschieden. Wer seine IT-Systeme wirklich schützen will, muss Sicherheit als kontinuierlichen Prozess verstehen – und in der Organisation entsprechend verankern.

Die bekannte Sicherheitslücke wird gefährlich

Der Ursprung von Fehlern und ­Sicherheitslücken in IT-Systemen kann vielfältig sein. So fand beispielsweise ein Hacker im Jahr 2008 heraus, dass eine unzureichende Spezifizierung in den Kassensystemen des Discounters Lidl zu deren Absturz führen konnte. Die im April 2014 bekannt gewordene Schwachstelle in der Verschlüsselungsbibliothek OpenSSL mit dem Namen „Heartbleed“ ­resultierte hingegen aus einem ­Implementierungsfehler.

In der Regel stellen Hersteller Software-­Updates bereit, die bekannt gewordene Fehler beheben sollen. Gleichzeitig werden im Internet aber Informationen und Werkzeuge zur Ausnutzung dieser Sicherheits­lücken gehandelt. Da eine Schwachstelle zum Zeitpunkt der Bereitstellung einer Fehlerbehebung (oder kurz danach) meist ­öffentlich bekannt ist, können Angreifer sie aktiv ausnutzen.

Die Betreiber von IT-Systemen sind daher gut beraten, Aktualisierungen zeitnah einzuspielen. Dies ist im Fall von regulärer Anwendungssoftware auf einem PC vergleichsweise einfach – kann im Fall von dezentralen und nicht vernetzen Systemen jedoch einen erheblichen Aufwand bedeuten. Ein aktuelles Beispiel dafür ist die Rückruf­aktion von VW, bei der wegen des Abgasskandals allein in Deutschland hunderttausende Fahrzeuge zum Software-Update in die Werkstatt müssen.

Veraltete IT-Systeme – ­keine Seltenheit

In der Realität funktionieren Updateprozesse oft nicht reibungslos. In einigen Fällen stellen Softwarehersteller Aktualisierungen gar nicht oder nicht zeitnah zur Verfügung. Spätestens wenn ein Produkt den regulären Lebens­zyklus verlässt, werden keine neuen Versionen mehr bereitgestellt. In anderen Fällen scheitert der Prozess auf Seiten des Systembetreibers – aus vielfältigen Gründen: etwa zu hohe Komplexität beim Aktualisierungsvorgang, fehlende Prozesse, mangelndes Bewusstsein oder wegen Kompatibilitätsproblemen.

Sehr schnell reagieren mussten Administratoren auf die erwähnte „Heartbleed“-Schwachstelle in OpenSSL. Hier führt ein Programmierfehler dazu, dass Angreifer verschlüsselte Kommunikation mitlesen können. Sicherheits-Experten wie Bruce Schneier bezeichneten die Auswirkungen der Schwachstelle als Katastrophe. In Anbetracht dieser Bedrohungslage sollten Administratoren ihre Systeme eigentlich zeitnah aktualisieren. Doch eine Studie der Cyber­security-Firma Venafi aus dem Jahr 2015 zeigt, dass selbst zwölf Monate nach Bekanntwerden von Heartbleed der Großteil der öffentlich erreichbaren Server der 2.000 größten Unternehmen weiterhin verwundbar blieb.

Windows XP: Ablösung eine Herausforderung

Plötzlich bekannt werdende Sicherheitslücken stellen alle Organisationen, ob aus der Privatwirtschaft oder der Öffentlichen Verwaltung, vor große Herausforderungen. Mitunter auch noch dann, wenn der Handlungsbedarf schon lange bekannt und geplant ist – wie beim Supportende für das Betriebssystem Windows XP. Das Ende des Lifecycles wurde von Microsoft einige Jahre im Voraus angekündigt. Dennoch hatten und haben große Organisationen ihre Schwierigkeiten mit der Umstellung von Windows XP auf Windows 7, etwa auch der Deutsche Bundestag und die Berliner Landesverwaltung.

Ergänzendes zum Thema
 
Always change a ­running system

Windows XP läuft aber nicht nur auf gewöhnlichen Rechnern, sondern auch auf speziellen Geräten mit besonderen Aufgaben, wie in der Medizintechnik. Ist der Lifecycle der Hardware aber länger als der der sie steuernden Software, behalten diese Geräte meist das veraltete Betriebssystem, und die neu entdeckten Sicherheitslücken der Software werden nicht geschlossen – obwohl in der Medizintechnik Sicherheit eine übergeordnete Rolle spielt.

Auf der nächsten Seite geht es weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44234312 / System & Services)