Illustration: Absmeier, Piro4D

Zunehmend sind sich CEOs und Vorstandsmitglieder bewusst, dass sie die Verantwortung haben, ihren Ansprechpartnern zielführende Fragen zu Cybersicherheitsrisiken wie Firmware- und Lieferkettensicherheit zu stellen, meint Palo Alto Networks.

Bei Firmware handelt es sich um eine Software, die speziell für ein Stück Hardware wie Festplatte, USB oder UEFI entwickelt wurde. Jedes moderne Computersystem oder intelligente Gerät besteht aus Dutzenden solcher Komponenten. Unternehmensentscheider brauchen oder wollen sich vielleicht nicht mit den tiefgreifenden technischen Problemen der Firmware-Sicherheit auseinandersetzen, aber sie sollten besser wissen, warum sie wichtig ist und wie sie die Risiken verstehen können. Es ist nicht anders, als den CFO nach bevorstehenden Quartalsfinanzergebnissen zu fragen und keine Hinweise darauf zu erhalten, dass große Bestandsabschreibungen bevorstehen.

»Hardware-Sicherheitslücken sind real, und sie tauchen immer häufiger auf. Forrester Research stellt fest, dass 63 Prozent der Unternehmen angaben, im vergangenen Jahr mindestens eine Datenlücke aufgrund von Hardware- oder Firmware-Sicherheitslücken erlebt zu haben. Auf diese Schwachstellen warten Hacker, Schurkenstaaten und andere Cyberangreifer nur, um sie auszunutzen«, berichtet Sergej Epp, Chief Security Officer, Central Europe, bei Palo Alto Networks. Führungskräfte von Unternehmen auf der ganzen Welt lesen oder hören, dass Systeme kompromittiert werden. Daher sollten sie ihren CISO oder Leiter der Sicherheitsabteilung fragen, was sie tun, um Schwachstellen zu identifizieren und zu verhindern.

Wenn die Antwort der Sicherheitsverantwortlichen mit einem der folgenden Punkte übereinstimmt, sollte nach Meinung von Sergej Epp dringend nachgehakt werden.

Entschuldigung Nr. 1: »Keine Sorge, unsere Firmware ist sicher.«

Wenn Ihr Team nicht genau dokumentieren kann, was es getan hat, um Firmware-Bedrohungen zu identifizieren und einzudämmen, könnte es sein, dass Sie vor einem Problem stehen. Firmware-Schwachstellen können in fast jedem System oder jeder Gerätekomponente liegen. Leider verfügen die meisten Unternehmen nicht über regelmäßige Patching-Verfahren zur Bereinigung von Firmware, Festplatten oder anderen Komponenten, auch nicht nach dem Weckruf von Spectre- und Meltdown-Schwachstellen, von denen die meisten Computer weltweit betroffen waren. Dies senkt die Messlatte für Hacker drastisch und schafft eine ideale Umgebung für versteckte und hartnäckige Hintertüren.

Die Zahl der Firmware-Schwachstellen ist in den letzten Jahren in die Höhe geschossen. Sicherheitsforscher glauben, dass die Gesamtzahl der häufigen Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) 7,5-mal größer ist als noch vor drei Jahren dokumentiert wurde. Firmware-Schwachstellen zeigen sich oft in Sicherheitsmerkmalen wie Privilegien und Zugangskontrolle und werden oft zu spät entdeckt. Sie sollten sich generell über Firmware Sorgen machen, denn sie wird oft überhaupt nicht verwaltet.

Entschuldigung Nr. 2: »Firmware-Angriffe sind Science-Fiction.«

Firmware-Angriffe sind real, dokumentiert und gefährlich. Seit wir von einigen öffentlichkeitswirksamen Angriffen von Edward Snowden und den Shadow Brokers erfahren haben, haben Firmware-Angriffe von einem breiteren Spektrum bösartiger Akteure zugenommen. Es gibt sogar kommerzielle Hacker-Unternehmen, die Firmware-Backdoors als ihre wichtigste Visitenkarte benutzen. Aufgrund der mangelnden Sicherheitsüberwachung auf dieser Ebene ist jedoch alles, was wir wissen, wahrscheinlich nur die Spitze des Eisbergs.

Entschuldigung Nr. 3: »Hacker können nicht eindringen, denn sie brauchen physischen Zugang zu unserer Hard- und Firmware.«

Es stimmt, dass physische Manipulation die bekannteste Art von Firmware-Sicherheitsangriffen ist. Wir alle haben unsere Notebooks in unserem Hotelzimmer gelassen, auch nur vorübergehend, während wir ins Fitnesscenter gehen oder uns etwas zu essen holen. Hotelangestellte wurden bestochen, um ein Backdoor an einem im Hotelzimmer zurückgelassenen System zu installieren.

Ein weiterer Bedrohungsvektor sind Angriffe auf die Lieferkette, bei denen die Firmware entweder vom Hersteller oder während der Lieferung des Systems manipuliert werden kann.

Ohne angemessene Sorgfaltspflicht oder Patching-Verfahren könnten solche Firmware-Implantate jahrzehntelang in Ihrem Rechenzentrum verbleiben, ohne dass es jemand bemerkt. All diese Firmware-Angriffe können auch aus der Ferne erfolgen. Hacker könnten ferngesteuerte gehackte Anwendungen oder Systeme nutzen, um die Firmware für dauerhaftere Überwachungs- oder Sabotagezwecke auszunutzen. Noch beängstigender ist es jedoch zu sehen, dass einige Firmware-Komponenten im Netzwerk oder Internet auf die gleiche Weise erreichbar sind wie Ihre Anwendungen.

Entschuldigung Nr. 4: »Mein Lieferkettenprozess prüft auf Sicherheit.«

Die meisten Unternehmen haben Lieferkettenprozesse, die den Wahrheitsgehalt, die Reaktion auf Vorfälle, das Management von Softwareschwachstellen und vieles mehr überprüfen. Nur selten implementieren Unternehmen jedoch Überprüfungen zur Überprüfung der Integrität von Firmware oder Hardware an verschiedenen Punkten der Lieferkette. Folglich haben Angreifer, die in der Lage sind, sich in die Lieferkettenprozesse einzuschleichen, leichtes Spiel, versteckte Backdoors unter der Oberfläche der Sichtbarkeit des Cybersicherheitsteams aufrechtzuerhalten. Insider-Bedrohungen sind nicht für alle Unternehmen ein großes Problem, aber diejenigen, die einige wertvolle Geheimnisse haben, müssen dies ernst nehmen. Der jüngste Fall eines Hackers, der versuchte, einen Tesla-Mitarbeiter mit einer Million Dollar anzuwerben, um Malware zu installieren, ist ein gutes Beispiel für diesen Trend.

Entschuldigung Nr. 5: »Ich kümmere mich um die Firmware-Sicherheit, nachdem die Grundlagen abgehakt sind.«

In dieser Ära von Covid-19 und des Budgetdrucks ist dies leicht zu verstehen. Wir alle müssen Prioritäten setzen, daher ist es verlockend, die Firmware-Sicherheit auf Eis zu legen, bis scheinbar größere Probleme wie die Cloud-Migration von Patching-Programmen gelöst sind. Bis vor kurzem war die Zahl der Firmware-Cyberdiebe mit umfassender Erfahrung ziemlich begrenzt, wobei sich die meisten Exploits auf Anwendungen oder Betriebssysteme konzentrierten. Mit der zunehmenden Veröffentlichung von Forschungsergebnissen (und deren Verbreitung durch die Bösewichte) haben die Angreifer aber ihre Bemühungen zur Ausnutzung von Firmware-Schwachstellen verstärkt.

Diese Angriffsfläche überhaupt nicht in Betracht zu ziehen, bedeutet, die ständig wachsenden Risiken für Ihr Unternehmen entweder zu ignorieren oder zu akzeptieren. Ein Blick auf die Firmware-Angriffe der Vergangenheit kann uns einige Lektionen in Sachen Cybersicherheit lehren. Am besten ist es, die Fehler der Vergangenheit nicht zu wiederholen. Unternehmen müssen daher die Sicherheit von Firmware und Lieferketten zum Bestandteil ihrer Risiko- und Bedrohungsmanagementprogramme machen.

Es ist wie die Sicherung Ihres Zuhauses

»Um Geschäftsführern und Vorstandsmitgliedern zu helfen, die Bedeutung der Gewährleistung einer guten Firmware-Sicherheit zu verstehen, verwende ich gerne eine Metapher, die wir alle kennen, verstehen und schätzen: Innere Sicherheit. Gesunder Menschenverstand und manchmal Erfahrungen aus erster Hand sorgen dafür, dass wir nicht erwarten, dass unser Zuhause sicher ist, wenn die Türen und Fenster weit geöffnet sind und unsere Wertsachen öffentlich ausgestellt sind, so dass sie jeder mitnehmen kann«, sagt Sergej Epp. »Sie könnten genauso gut ein Transparent schwenken, auf dem steht: Hey Diebe, kommt rein!«

Die Sicherheit der Firmware ist auf dieselbe Weise gewährleistet. Unternehmen sollten ihrer Firmware null Vertrauen schenken. Sie sollten ein kontinuierliches Patch- und Konfigurationsmanagement implementieren sowie kritische Server überwachen und mobile Endgeräte scannen, die sich in unsicheren Umgebungen befunden haben. Es gilt also sicherzustellen, dass die grundlegende Sicherheitshygiene praktiziert wird.

»Wie oft haben wir uns beim Verlassen unseres Hauses gefragt: »Habe ich die Tür abgeschlossen?« Stellen Sie also sicher, dass Sie Ihre Türen abschließen, unsichere Schlösser austauschen, einen Bewegungsmelder installieren und Ihr Haus mit einer Sicherheitskamera ausstatten«, fasst Sergej Epp abschließend zusammen. »Wenn Sie Ihre Firmware nicht zusperren, können Sie niemanden beschuldigen, wenn sich die Angreifer durch die Hintertür einschleichen und sich das geistige Eigentum und die Kundendaten Ihres Unternehmens aneignen.«

115 Artikel zu „Firmware Sicherheit“

NEWS | INTERNET DER DINGE | IT-SECURITY | TIPPS

Die Top-Mythen der IoT-Sicherheit

28. August 2020

Konventionelle Ansätze der Cybersicherheit konzentrieren sich auf ein grundlegendes Konzept: jedes in Sichtweite befindliche Gerät schützen, um Hacker, Angreifer und Diebe fernzuhalten. In einer hochgradig vernetzten Welt, in der sich eine Vielzahl von Sensoren, Geräten und Systemen gegenseitig mit Daten versorgen, ist dieses Konzept jedoch überholt. Das Internet der Dinge wächst. IDC prognostiziert, dass es…