Melani rückt Hardware-Security in den Fokus

Der Bericht über wichtige Cyber-Risiken stellt vielen Schweizer IT-Verantwortlichen kein gutes Zeugnis aus. Auch den Verantwortlichen für die CPU-Lücken nicht.
 
Die Melde- und Analysestelle Informationssicherung (Melani) hat ihren 27. Halbjahresbericht zur Lage der Cyber-Security publiziert. Darin listet Melani die wichtigsten Vorfälle der ersten Jahreshälfte 2018 auf, welche hierzulande relevant sind und gibt Tipps zur Prävention.
 
Neben den Consumer-Evergreens (Malware, DDos-Attacken, Passwort-Diebstahl und Recycling derselben für andere Logins) gibt es durchaus neue Themen.
 
Hardware-Lücken: Das schlimmste kommt erst
Die beiden CPU-Lücken "Meltdown" und "Spectre" erhalten ein eigenes Schwerpunktkapitel. Die Hardware-Lücken, die in der ersten Januarwoche 2018 bekannt wurden, waren im Ausmass laut Melani "erheblich gravierender" als die üblichen Lücken oder auch beispielsweise "WannaCry" und "Heartbleed". Dies, so die Autoren, weil die Lücke sich nicht einfach beheben lässt mit einem Software-Update und, wie man gesehen hat, nicht ohne Leistungseinbussen.
 
Die Folgerung von Melani: "Die Mikroprozessoren müssen zukünftig neugestaltet und die Prozessorarchitektur überarbeitet werden." Gleichzeitig fordert Melani "Security By Design" und fragt, welche Methoden die Hardware-Security besser garantieren als die heutigen.
 
Gleichzeitig müssen sich die Hersteller deutliche Vorwürfe gefallen lassen: "Aufgrund von Kompatibilitätsgründen wurde es verpasst, Systeme und Architekturen von Grund auf zu erneuern. Stattdessen versuchte man, Bestehendes weiterzuentwickeln."
 
Da es Jahre dauern wird, um neue Produkte zu entwickeln, wachse die Gefahr. Es sei mit neuen Hardware-Lücken zu rechnen. Zudem sei es "unrealistisch", weltweit Hardware auszutauschen, wie man es mit Software ja könnte.
 
Industrie: Kontrollsysteme liegen offen herum
Bekanntlich werden immer mehr Systeme ans Internet gehängt. Diese haben oft ältere Betriebssysteme, was sie unsicher mache. Das ist nicht allen IT-Zuständigen wirklich bekannt. So seien in der Schweiz 478 industrielle Kontrollsysteme von aussen sichtbar, schreibt Melani. Und gegen die "Heartbleed"-Lücke haben die Verantwortlichen bis heute nichts unternommen. Für jüngere Leser: Die Riesenlücke wurde 2014 publiziert…
 
Neben den obigen offenen Systemen liegen offenbar 405 Cisco Smart Install Clients in der Schweiz einfach öffentlich zugänglich herum. Pro-Tipp von Melani an die zuständigen Fachkräfte: "Diese Geräte sind dringend vor unbefugten Angriffen von aussen zu schützen. Ausserdem sind Updates jeweils zeitnah einzuspielen."
 
Dies wären am Internet hängende Systeme und Geräte ohne die chronisch unsicheren Haushalt-Geräte zu nennen.
 
International bemerkenswertes
Auf internationaler Ebene bedeutsam sind laut Melani das Bot-Netzwerk namens "VPN-Filter", welches mindestens eine halbe Million Router und NAS-Geräte aus 54 Ländern als "Angriffsmaschine" nutzte. Dabei erwiesen sich Produkte unterschiedlicher Hersteller als verwundbar.
 
Des Weiteren muss man auf den erfolgreichen Angriff auf ein Netzwerk der Deutschen Bundesregierung und die Angriffe gegen Energieversorger in Deutschland zurückblicken.
 
Wer sich einen Überblick über weitere Vorfälle, sich offenbar häufende Datenabflüsse und Verweise auf Massnahmen verschaffen will: Der Bericht ist als PDF verfügbar. (mag)