Hilferuf nach sicherer Software – Ursachen bekämpfen statt gegen Symptome wie Lösegeldzahlungen für Ransomware vorzugehen

Screenshot youtube.com Screenshot youtube.com

Cyberangriffe mit Verschlüsselungstrojanern häufen sich in den letzten Jahren, neben privatwirtschaftlichen Unternehmen sind zunehmend öffentliche Einrichtungen wie Behörden und Universitäten betroffen.

___________________

Von Blog Datenschutz – Unter dem Radar

(Annomyer Autor der Technischen Universität Berlin)

___________________

Seit dem Beginn des Ukrainekrieges sind die Cyberattacken mit Ransomware aggressiver geworden, so dass sowohl vorbeugende als auch lindernde Maßnahmen nun zwingend geboten sind und diskutiert werden – sowohl in der IT selbst als auch bei der Gesetzgebung.

Statt der Symptome sollten die Ursachen im Fokus stehen:

Heutige Software und Systeme sind sicherheitstechnisch löchrig wie ein Schweizer Käse.
Ziel sollte Sicherheit und Verlässlichkeit sein.
Jede Komponente sollte überprüfbar sein.

Ein offener Ransomletter-Brief zieht auch im universitären Umfeld seine Kreise. In diesem wird die Politik aufgefordert, Lösegeldzahlungen und Versicherungen, die diese abdecken, gesetzlich zu reglementieren, so dass die Ransomwaregangs Lösegelder nicht mehr so leicht eintreiben können und ihnen damit das Wasser abgegraben werden kann. Dass Lösegeldzahlungen nicht der richtige Weg sind, das Problem in den Begriff zu bekommen, liegt auf der Hand.

Jedoch wird sich das Ransomware-Geschäftsmodell durch ein Verbot von Lösegeldzahlungen nicht aushebeln lassen, denn:

  • einerseits werden angegriffene Unternehmen trotzdem Wege finden, Lösegeldzahlungen vorzunehmen, wenn sie dieses wollen und
  • andererseits der Schaden durch eine Zerstörung oder Weitergabe/Verkauf erbeuteter Daten an Dritte möglicherweise noch größer wäre

Insofern ist der Ansatz des offenen Briefs nicht zielführend. Im Gegenteil – wenn die Ursachen nicht beseitigt werden, wird es immer schlimmer. IT-Systeme werden von vielen Akteuren angegriffen, sowohl Geheimdienste als auch etliche -teilweise sogar staatlich beauftragte- Hacker tummeln sich darin.

Im Beitrag beschreiben wir den typischen Verlauf eines Ransomware-Angriffs und diskutieren, was Software sicherer machen könnte.

Cyberattacken mit Ransomware

Ransomware ist eine Software, die von Cyberkriminellen „black hat hacker“ in IT-Systemen eingeschleust werden – häufig durch erfolgreiche Phishing-Angriffe mit E-Mails, bei denen Passwörter abgefragt werden.

Mit den erbeuteten Zugangsdaten versucht ein Angreifer Software-Komponenten aus der Ferne zu installieren, die einen Zugriff auf dieses und alle weiteren angebundenen Systeme ermöglichen. Über das Ausnutzen von Sicherheitslücken wird dabei versucht, große Teile der IT-Systemlandschaft zu infiltrieren. Diese Prozesse sind mittlerweile gut automatisiert und benötigen kaum mehr manuelle Eingriffe durch einen Angreifer.

Die Cyberkriminellen verhalten sich dann oft längere Zeit unauffällig und kundschaften die infiltrierten Systeme in Ruhe aus – häufig über mehrere Monate. Früher oder später beginnen sie, von den infiltrierten Systemen Daten auszuleiten (daher der Begriff „Trojaner“). Eine Verschlüsselung von Dateien findet zumeist erst statt, wenn die Angreifer damit fertig sind oder falls sie befürchten bald erkannt zu werden.

Erst dann werden Lösegeldforderungen in Kryptowährungen gestellt und bei einer Zahlung wird der Schlüssel übergeben – so die Theorie. Um den Druck zu erhöhen werden einige der erbeuteten Daten im Internet (meist im Darknet) veröffentlicht. Betroffene Unternehmen und Einrichtungen sollten sich darüber im Klaren sein, dass die Kriminellen die Daten vorher auf ihre Server kopiert haben und es trotz Zahlung keine Garantie gibt, dass nicht doch noch mehr Daten veröffentlicht oder an Dritte gegeben werden. Zudem es auch „Auftragsarbeiten“ gibt, die Industriespionage oder -wie jetzt im Ukrainekrieg- Sabotage umfassen.

Der Schaden und die mit einem Angriff verbundenen Kosten sind zumeist immens, häufig ist der Geschäftsbetrieb über Monate stark eingeschränkt.

Die TU Berlin war im April 2021 Ziel eines Hackerangriffs der Conti-Gruppe und die Systeme waren erst nach einem Jahr weitgehend wiederhergestellt und das, obwohl der Angriff frühzeitig nach wenigen Tagen erkannt und sofort reagiert wurde.

Sichere Software und was sie kennzeichnet

IT-Sicherheit sollte ein zentraler Aspekt der Qualitätssicherung in der Softwareentwicklung sein, kommt aber leider häufig zu kurz. Tests zielen auf das nachträgliche Erkennen von Schwachstellen, ein systematisches Überprüfen der Funktionen und Schnittstellen ist kaum umsetzbar -zudem letztlich alle Features sicherheitsrelevant sind- jedes Sicherheitsloch kann ausgenutzt werden. In der Elektrotechnik und Informatik gab es von Anfang zahlreiche Ansätze für Sicherheit – wie es sich für eine Ingenieurswissenschaft gehört! Diese sollten ernsthaft umgesetzt werden, z.B.

  • Modularisierung und klare Schnittstellenspezifikation als konzeptioneller Weg,
  • Isolierung und Kapselung von Software-Komponenten und Systemen (z.B. netzwerktechnische Abriegelungen), sowie
  • Typisierung in Programmiersprachen zu erzwingen und Speichermanagement nicht den Entwicklern zu überlassen sind weitere Ansätze.
    Software die „frei“ mit sicherheitsrelevanten Aspekten umgeht sollte als solche, d.h. als potentiell unsichere, zu erkennen sein, denn sie ist angreifbarer. Es sollten zwingende Nachweise für das erfolgte Qualitätsmanagement gefordert werden und dieses unabhängig überwacht werden.

Software sollte reifen können – sie kann sicherer werden, indem sie über längere Zeit entwickelt und von einem größeren Kreis Beteiligter ernsthaft reviewed wird.

Es sei daran erinnert, dass durch nachträgliche Tests schlummernde Schwachstellen eher zufällig den systematisch erkannt werden, Sicherheit muss bei der Umsetzung mitgedacht werden. Und: Firewalls, Netzwerkfilter oder Virenschutzprogramme erhöhen nicht die Sicherheit der Software selbst, sondern dienen lediglich der Schadensbegrenzung.

Software sollte funktionell stabil bleiben, da neue Funktionen meist auch neue Schwachstellen mit sich bringen. Die verbreitete „Featuritis“ ist sicherheitstechnisch ein großes Problem, denn statt Produkte stabil zu halten, lange zu pflegen und dabei zu verbessern werden sie regelmäßig durch neuere mit reichhaltigerem „verbessertem“ Funktionsumfang ersetzt.

Ein positives Beispiel ist der Long Time Support (LTS), wie er bei Linux praktiziert wird, denn:

Funktionalität sollte verdichtet und reduziert werden, damit die Software überschaubar bleibt.

Häufige Veränderungen sind sicherheitstechnisch kontraproduktiv.

Nachhaltige Softwareentwicklung setzt auf konsequente Wiederverwendung von bewährten und – soweit als möglich nachgewiesenermaßen – sicheren Komponenten. Transparenz und Überprüfbarkeit der Funktionen und Wirkungsweise sind dabei wesentlich, was eigentlich nur mit Open Source Software möglich ist – für kommerzielle Produkte sollten praktikable Lösungen gefunden werden, die proprietäre „Black Box“ ist sicherheitstechnisch eine Herausforderung.

Ein großes sicherheitstechnisches Problem stellt die steigende Komplexität der Anwendungen dar – allein die schiere Anzahl eingebundener Komponenten (z.B. Programmbibliotheken) liefert eine Vielzahl von Angriffsvektoren. Der Ansatz „weniger ist mehr“ sollte ernsthaft bedacht werden.

Das Bananenprinzip:

Die Software reift beim Kunden

sollte durchbrochen werden! Leider ist es aber so, dass mit der sich durchsetzenden „agilen Softwareentwicklung“ zwar (idealerweise) funktionierende Prototypen entstehen, diese tendenziell aber noch mehr Fehler und Schwachstellen enthalten.

Sogenannte „Mayor Releases“ stecken voller neuer Bugs – erfahrene Anwender und Admins warten meist die ersten vorhersehbaren Bug-Fixes ab.
Die Produkte sollten immer einen zuverlässigen Qualitätssicherungsprozess durchlaufen, damit es besser und sicherer wird. Und zwar bevor die Software ausgerollt wird.

Politische und gesetzgeberische Wege zu höherer IT-Sicherheit

Leider gab es in Deutschland und Europa in den letzten Dekaden keine nennenswerten politischen Initiativen, die zum Ziel hatten, der weitgehenden Monopolstellung US-amerikanischen IT-Giganten zu begegnen. Das sollte sich ändern, denn digitale Souveränität ist nur bei größerer Unabhängigkeit möglich. Öffentliche Einrichtungen wie Behörden, (Hoch)schulen und Forschungseinrichtungen könnten hier mit gutem Beispiel voran gehen und selbst Alternativen einsetzen und diese mit öffentlichen Geldern weiterentwickeln.

Und nicht zuletzt: Cyberkriminelle Aktivitäten sollten (international) besser verfolgt und geahndet werden können – eine zielführende Zusammenarbeit mit Behörden in Russland, China und weiteren Staaten war und ist zumeist nicht praktikabel; es sollten Wege gefunden werden, der Kriminellen habhaft zu werden. Inwieweit sich bereits mafiöse Strukturen organisierter Kriminalität aufgebaut haben ist nicht bekannt – bei den Gewinnaussichten muss aber mit gerechnet werden.

Und statt Lösegeldzahlungen zu verbieten sollte die Politik durchsetzen, dass die Unternehmen keine unsicheren Produkte anbieten, indem es dafür hohe Bußgelder und in bestimmten Fällen auch eine persönliche Strafbarkeit gibt, z.B. bei kritischer Infrastruktur. Es gibt zwar einige gesetzliche Regelungen zur IT-Sicherheit, jedoch scheinen diese bei Weiten micht zu reichen.

Software wäre über eine Durchsetzung der Produkthaftung sicherer zu machen – Hersteller würden dann (hoffentlich) mehr für die Sicherheit sorgen. In gewissem Rahmen sind zwar bereits jetzt Schadensersatzzahlungen einforderbar, der prozessorale Weg dahin aber aufwendig, mit Kosten verbunden und zudem nicht zwingend erfolgversprechend.

Eine „mehrjährige Updatepflicht“ im Rahmen der Garantie/Gewährleistung oder ähnlicher Regelungen (die auf EU-Ebene diskutiert werden) gehen nicht weit genug – wer unsichere Produkte auf den Markt bringt, sollte dafür mit spürbaren Bußgeldern belegt werden können: die DSGVO kann hier als Muster dienen.

Derzeit versucht sich der Staat an einem Spagat:

Einerseits sollen die Systeme sicher sein. Andererseits soll bei Bedarf ein Zugriff auf Geräte und Informationsflüsse zur Strafverfolgung und Gefahrenabwehr erfolgen.

Der Zugriff auf Endgeräte, Chat-Inhalte und vieles mehr durch Strafverfolger und andere Behörden wird durch Gesetze erzwungen und dabei werden bspw. beim Staatstrojaner gezielt Sicherheitslücken ausgenutzt, statt sie zu melden, damit sie geschlossen werden können. Das Dilemma wird auch am Statement des Leiters der „Cybersicherheits-Behörde“ Zitis deutlich, der es als künftige große Herausforderung ansieht 6G-Mobilfunk abhören zu können. Offene Sicherheitslücken werden dort wohl weniger als ein Problem angesehen.


Die Texte der Blogbeiträge sind lizenziert unter einer Creative Commons Namensnennung 4.0 International Lizenz, sofern nicht bei einem Beitrag anders angegeben.
Die Lizenz ersteckt sich nicht auf eventuell enthaltene Bilder, Graphiken und Screenshots, da für diese unter Umständen Urheberrechte Dritter bestehen.