Die Top 5 Security-Ereignisse 2024 und was sie bedeuten

Inhaltsverzeichnis

Zum Ausklang des Jahres werfen wir einen Blick zurück auf die Security-Ereignisse, die 2024 geprägt haben und eine Bedeutung über den aktuellen Kontext hinaus erlangten.

Eine Analyse von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Aktuell kümmert er sich vor allem um heise Security Pro.

• heise Security Pro

1. Die xz-Backdoor

Da war diese kleine Bibliothek mit Kompressionsfunktionen, die unzählige Projekte nutzten, deren einziger Maintainer jedoch an akutem Burnout litt. Gerne nahm er die Hilfe des angeblichen Helfers "Jia Tan" an. Der nutzte seine Position als Co-Maintainer, um eine raffinierte Backdoor in den Quellcode einzuschleusen, die es auf den SSH-Dienst abgesehen hatte. Die wurde jedoch gerade noch rechtzeitig entdeckt; das Internet schrammte haarscharf am Super-GAU vorbei.

Warum ist das wichtig?

Ein dreiviertel Jahr später wissen wir immer noch nicht, wer hinter dieser ausgefeilten Kampagne steckt – und was die darüber hinaus angestellt haben. Denn so sorgfältig vorgehende Angreifer legen nicht all ihre Eier in ein Nest. Ich bin überzeugt, dass da noch mehr dahintersteckt. Außerdem wirft dieser Vorfall ein Schlaglicht auf die oft vernachlässigte soziale Komponente der IT. Und schließlich: Milliardenschwere Konzerne und ganze Staaten verlassen sich offenbar mehr und mehr darauf, dass unbezahlte Freiwillige ihre Freizeit opfern und sich dabei an Maßstäben messen lassen, die die Nutznießer selbst nicht erfüllen.

2. Microsoft am Pranger

Bereits 2023 stahlen mutmaßlich chinesische Angreifer bei Microsoft einen Schlüssel, der den Zugang zu allen Microsoft-Cloud-Konten ermöglichte. Ein Key, den es eigentlich nicht geben durfte. Ein Key, der eigentlich in ein HSM gehörte; ein Key, der eigentlich nicht funktionieren durfte. Eine ganze Serie von vermeidbaren Fails, die eigentlich allesamt nicht passieren dürften. Zu diesem Urteil kam im Frühjahr 2024 das vom Department of Homeland Security und CISA eingesetzte Cyber Safety Review Board (CSRB) in einem Untersuchungsbericht. Ihr Review of the Summer 2023 Microsoft Exchange Online Intrusion (PDF) setzte damit Maßstäbe für die Aufarbeitung von Security-Fails.

Warum ist das wichtig?

Das CRSB stellte Microsoft nicht nur wegen einzelner Versäumnisse an den Pranger. Es demontierte die vollmundigen Security-Versprechen des Cloud-Riesen systematisch und nach allen Regeln der Kunst. So verglich es die von Microsoft getroffenen Sicherheitsvorkehrungen mit denen der wichtigsten Cloud-Konkurrenz wie Google, AWS und Oracle und kam zu dem Schluss, dass jeder einzelne von denen da signifikant besser aufgestellt ist.

Dieser Vorfall war kein "Shit happens" – das war systemisches Versagen und die zwangsläufige Folge einer systematisch kaputt rationalisierten IT-Security. Und das DHS hat das als Gefahr für die nationale Sicherheit erkannt. Mit seiner Secure Future Initiative hat sich Microsoft noch einmal Bewährung erkauft; beim nächsten GAU ist es fällig.

3. Das Crowdstrike-Debakel

Software, die eigentlich dazu da ist, die Systeme vor Angriffen zu schützen, sorgte für einen beispiellosen IT-Ausfall. Ein fehlerhaftes Update der Falcon-Software der Sicherheitsfirma Crowdstrike brachte Millionen von Systemen zum Absturz und verhinderte danach sogar einen sauberen Neustart. Vor allem in den USA fielen deshalb Tausende Flüge aus; Banken, Medien- und Telekommunikationsunternehmen sowie Krankenhäuser waren ebenfalls betroffen. Auch in Deutschland waren die Auswirkungen spürbar. Der Schaden wurde auf über 10 Milliarden US-Dollar geschätzt.

Bei der Analyse stellte sich heraus, dass Crowdstrike an vielen Stellen geschlampt hatte. So hatten sie das fehlerhafte Update offenbar vor dem Ausrollen unzureichend getestet und zuvor auf keinem einzigen realen System ausprobiert. Der Update-Prozess erfolgte nicht etwa wie allgemein üblich in Stufen, sondern auf einen Schlag auf allen Systemen. Zudem gab es Kritik an der Art und Weise, wie sich die Sicherheitssoftware im System verankert.

Warum ist das wichtig?

Kein Wurm, nicht Ransomware und auch kein raffinierter Supply-Chain-Angriff einer staatlichen Angreifer-Gruppe, sondern ausgerechnet Security-Software sorgte für den größten IT-Ausfall des Jahres – vielleicht sogar der Geschichte. Anders als Microsoft genoss Crowdstrike zuvor einen guten Ruf als eine der Top-Security-Firmen. Doch auch hier enthüllte die nachfolgende Analyse katastrophale Zustände beim Verursacher Crowdstrike, der die für eine so kritische Position erforderliche Sorgfalt sträflich vernachlässigte.

4. 0days in (Security-)Appliances

Security-Firmen wie Ivanti, Fortinet und Palo Alto bescherten Angreifern dieses Jahr einen nicht enden wollenden Strom von Sicherheitslücken, mit denen sie die Netze ihrer Opfer kompromittieren konnten. Viele davon waren 0-Day- oder N-Day-Lücken in Firewalls oder VPN-Gateways und ließen sich ausnutzen, noch bevor ein Patch dagegen bereitstand oder bereits kurz nach dessen Erscheinen. Die Analysen der Sicherheitslücken und der Art und Weise, wie sich diese ausnutzen ließen, zeichnen ein schlimmes Bild der Security auf diesen Security-Gerätschaften. Da haben Angreifer etwa entdeckt, dass sie ganz ohne Authentifizierung beim FortiManager ein neues Gerät registrieren können, bei Palo Alto konnte man die Authentifizierung durch einen simplen HTTP-Header X-Pan-Authcheck: Off umgehen und die Security in Ivantis Connect Secure ließ sich mit einem ../.. austricksen.

Warum ist das wichtig?

Appliances sind Black Boxes. Ihre Nutzer müssen sich im Wesentlichen blind darauf verlassen, dass der Hersteller die für die exponierte Position einer Firewall oder eines VPN-Endpunkts erforderliche Sorgfalt an den Tag legt und die Grundprinzipien von IT-Sicherheit befolgt. Doch die Lücken zeigen, dass die stattdessen Ramsch verkaufen, dessen interne Security schon vor zehn Jahren nicht mehr dem Stand der Technik genügt hätte. Vor zehn Jahren konnte man mit "wird schon keiner merken" vielleicht noch durchkommen; doch mit der Industrialisierung der Cybercrime und deren systematischer Suche nach neuen "Business Opportunities" können wir uns das nicht mehr leisten.

5. Das US-Telco-Fiasko (Salt Typhoon)

Bereits seit über einem Jahr haben vermutlich chinesische Angreifer Zugang zu Gesprächen und SMS-Nachrichten nahezu aller US-Bürger; sie nutzten das unter anderem, um den kommenden US-Präsidenten Donald Trump und dessen Vize JD Vance abzuhören. Und das geht immer noch weiter: Salt Typhoon hat sich so tief in die IT-Infrastruktur der US-Telekommunikations-Provider eingegraben, dass selbst Monate nach der Entdeckung nicht klar ist, wie man die da wieder hinausbekommt. Um sich davor zu schützen, rät jetzt selbst das FBI US-Bürgern, ihre Gespräche und Nachrichten zu verschlüsseln (auch wenn sie da gerne eine "responsible encryption" hätten – also eine, zu der sie einen Schlüssel bekommen). Man fragt sich zu Recht, warum das nicht längst Standard ist.

Warum ist das wichtig?

Dieser Vorgang ist eine Bankrotterklärung einer ganzen Branche. Die US-Telcos verzichteten offenbar darauf, ihre IT so abzusichern, wie es für Betreiber kritischer Infrastruktur – und das ist Telekommunikation – eigentlich selbstverständlich sein sollte. Und die US-Behörden drückten beide Augen zu, weil ihnen etwa das Fehlen von standardmäßiger Verschlüsselung aller transportierten Inhalte selbst einen komfortablen Zugang ermöglicht. Da steht jetzt eine rigorose Bestandsaufnahme und anschließendes Großreinemachen an.

Und was bedeutet das jetzt?

Ich fange bei der Analyse der Bedeutung mal damit an, was nicht in dieser Top-5-Liste auftaucht. Ransomware zum Beispiel. Nicht weil es die nicht mehr gab, sondern weil die zum "Business as usual" geworden ist. Selbst große Ausfälle oder spektakuläre Lösegeldforderungen haben kaum noch Nachrichtenwert und verschwinden nach wenigen Tagen aus den Schlagzeilen. Oder KI. Das Thema war in den Gesprächen rund um Security zwar omnipräsent; aber über mildes Erstaunen gingen die Reaktionen auf die präsentierten Erkenntnisse nie hinaus. Offenbar fehlt es da immer noch an solider Substanz, die wirklich etwas bewegt; mal sehen, wie sich das 2025 entwickelt.

Außerdem sind in der Liste keine Vorfälle, bei denen überragende Fähigkeiten der Angreifer scheinbar Unmögliches möglich machten. So etwas wie Stuxnet oder die von russischen Hackern im Staatsauftrag herbeigeführten Blackouts. Die Top-5-Ereignisse kamen ohne geknackte Verschlüsselung oder spektakuläre Durchbrüche beim Umgehen effizienter Verteidigungsmaßnahmen aus. Am ehesten zählte da noch die xz-Backdoor. Doch erstens kam es da nicht zum großen Knall und zweitens steht das Problem der unterfinanzierten und überlasteten Open-Source-Entwickler eigentlich bereits seit Jahren auf der Agenda.

Dafür dokumentieren vier der fünf Top-Security-Ereignisse fatale Schlamperei von Firmen, die uns Security verkaufen. Das dokumentiert eindrucksvoll, dass ausgerechnet diejenigen, die ihr Geld mit IT-Sicherheit verdienen – und da zähle ich jetzt mal die Telcos mit dazu – viel zu oft nicht einmal das allgemein als Minimum erachtete Niveau von IT-Sicherheit umsetzen. Ich rede hier nicht von Verschlüsselung, die Angriffen durch Quanten Computer standhalten würde, sondern von elementarsten Basics der IT-Security.

Microsoft, Crowdstrike, Ivanti, Palo Alto, Fortinet und die US-Telcos – 2024 war das Jahr der aufgeflogenen Security-Schlamperei.

Und nun?

Kein Rückblick ohne einen konstruktiven Blick voraus: Diese Bilanz zeigt, dass wir keine Raketentechnik benötigen, um bei der IT-Sicherheit einen deutlichen Schritt voranzukommen. Eine solide Basis, die das umsetzt, was allgemein als sinnvolle Grundsicherung gilt, wäre bereits ein gewaltiger Fortschritt.

Das Problem dabei ist, dass die aufgeflogenen Security-Schlampereien ja keine Versehen waren, die passierten, weil man es nicht besser wusste. Das waren Missstände, die Firmen absichtlich in Kauf genommen oder sogar herbeigeführt haben, weil sie ohne Security besser Geld verdienen konnten. Aber das ändert sich zum Glück. Die USA haben das Cyber Safety Review Board auf ihre Telcos angesetzt und diskutieren in diesem Zusammenhang sogar mehr regulatorische Vorgaben. Der Cyber Resilience Act (CRA) führt EU-weit verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Komponenten ein. Parallel hat die EU bereits eine neue Produkthaftung auf den Weg gebracht, die endlich auch Hersteller und Anbieter von IT-Produkten in die Pflicht nimmt.

Damit haben wir das Werkzeug, um diese Herausforderungen in Angriff zu nehmen. Aber erst nächstes Jahr. Jetzt wünsche ich erst einmal möglichst entspannte und erholsame Feiertage. Wir lesen, hören und sehen uns dann sicher 2025 wieder …

Vielleicht bei heise security PRO? Das bietet nämlich kostenlosen Zugang zu heise security Webinaren und der jährlichen Tour. Und dieser Text entstand ursprünglich für den exklusiven Newsletter zu wichtigen Security-Themen, den alle PRO-Mitglieder wöchentlich erhalten. Mehr dazu findest du hier:

(ju)