Der Kampf um die Hardware hat begonnen

Bislang waren Schadprogramme meist auf die Software beschränkt. Gezielte Angriffe zeigen, dass sich das ändert - Angreifer infizieren zunehmend auch die Hardware.

Letzte Woche wurde bekannt, dass Bankräuber über eine Milliarde Dollar erbeuteten - aber nicht, indem sie die Konten argloser Bankkunden plündern, sondern indem sie ganz gezielt die Rechnersysteme der Bank infizierten, ausspähten und schließlich gezielt die Arbeitsweise der Bankmitarbeiter imitierten, um so ihre Entdeckung zu vermeiden.

Institute aus über 20 Ländern weltweit fielen dieser "Carbanak" genannten Gruppe zum Opfer. Der Direktor des Interpol Digital Crime Centre meinte dazu:

Diese Attacken unterstreichen wieder einmal, dass Kriminelle jede Schwachstelle in jedem System ausnutzen werden.

Eine andere Gruppe von Cyberkriminellen wird "Equation-Group" genannt. Ihr Entdecker im Kapersky Lab betrachten sie als die "höchstentwickelten Hacker der Welt" - und tatsächlich sind die Tools der Gruppe bemerkenswert:

• Fanny wird dazu verwendet, vom Internet abgetrennte Netze zu infizieren. Dazu versteckt sich das Programm in einem versteckten Bereich, in der Firmware eines USB-Sticks, und sammelt von dort aus Informationen. Wieder an einem Rechner mit Internetzugang angesteckt, sendet es die Daten an einen Command-and-Control-Server, von dem es auch Befehle entgegennimmt, die ausgeführt werden, wenn der USB-Stick wieder im abgetrennten Netz angesteckt wird.
• Auch das "Greyfish" genannte Programm verbirgt sich hinter Firmware - aber diesmal auf Festplatten. Hat es sich da einmal eingenistet, kann es auch durch ein Formatieren der Festplatte und durch eine komplette Neuinstallation des Betriebssystems nicht mehr vertrieben werden - das neu installierte System wird anschließend gleich wieder infiziert.

Diese Tools können durch herkömmliche Virenscanner nicht entdeckt werden, da sie gezielt die Hardware nutzen, um sich unsichtbar zu machen. Dabei sind Festplatten und USB-Sticks nicht die einzige Art von Hardware, die Schadsoftware beherbergen kann. Auch Video-, Netzwerk- und andere Erweiterungskarten verfügen über Firmware, die von Bösewichten modifiziert werden kann.

Die Technik dahinter ist keinesfalls eine Geheimwissenschaft. Jeroen Domburg alias "Sprite_tm" beschreibt auf seiner Webseite, wie es ihm gelungen ist, die Firmware einer Harddisk in einer ähnlichen Weise zu modifizieren. Geheimdienste wie etwa National Security Agency (NSA) und Global Communications Headquarter (GCHQ), denen die "Equation Group" nahestehen dürfte, haben durch die ihnen zur Verfügung stehenden Mittel einen Vorsprung von zumindest Monaten bis hin zu einigen Jahren. Was aber heute von den "höchstentwickelten Hackern" verwendet wird, ist morgen möglicherweise schon in den Händen von Gruppen wie den oben erwähnten Bankräubern. Der nächste Schritt ist dann, dass diese Techniken in "Virus Construction Kits" Eingang finden, mit denen dann auch technisch wenig versierte Script-Kiddies ihre Schadsoftware zusammenklicken können.

Es bleibt den Hardware-Herstellern also nicht viel Zeit, wirksame Gegenmaßnahmen zu erarbeiten. Intel hat mit "Boot Guard" eine Technologie vorgestellt, die nur noch mit "vertrauenswürdiger" Firmware booten soll - ein Schlüssel wird bei der Boardherstellung in den Chip eingebrannt und das BIOS anhand dieses Schlüssels überprüft. Ist das BIOS nicht korrekt signiert, startet der Computer nicht.

Diese Feature erhöht die Sicherheit aber nur bedingt. Die Equation-Group verwendete einen bekannt fehlerhaften, aber gültig signierten Betriebssystemtreiber, um seine Schadroutinen mit Systemrechten laufen zu lassen - die Prüfung des Betriebssystems lief dadurch ins Leere. Ähnlich könnte ein gültig signiertes BIOS Fehler enthalten, die das Einschleusen von Schadcode ermöglichen. Zudem wird der Einsatz von quelloffenen BIOS-Alternativen wie beispielsweise Coreboot verhindert.

Außerdem ist es (wie der Link auf http://www.heise.de/tp/artikel/44/44189/1.html zeigt) nicht ausgeschlossen, dass ein Angreifer bereits bei der Hardware-Herstellung eingreift und manipuliert. Handys (und insbesondere Smartphones) bieten hier einige Angriffspunkte. Neben der eigentlichen Software besitzt auch das eingebaute GSM-Modem eine Firmware - und auch die SIM-Karte ist eigentlich ein kleiner Prozessor mit eigenem Betriebssystem.

Überall hier kann ein versierter Angreifer (und mit solchen muss man, wie sich gezeigt hat, rechnen) seine Schadroutinen unterbringen. Dabei werden Handys zunehmend nicht nur für Zahlungsvorgänge genutzt, sie werden oft auch für die Zwei-Faktor-Authentifizierung verwendet - etwa in der Form, dass eine Transaktionsnummer (TAN) an eine bekannte Handynummer geschickt wird. Es ist also leicht vorstellbar, dass diese Infrastruktur ein lohnendes Ziel ist: nicht nur für Geheimdienste, sondern für Cyberkriminielle jeder Art.

Wie können nun die Hardware-Hersteller die Sicherheit ihrer Produkte verbessern und das Vertrauen der Konsumenten zurückgewinnen? Die schlechte Nachricht: Mangels Alternativen werden die bekannt gewordenen Sicherheitslücken nicht die gravierenden Konsequenzen haben, die die Hardware-Hersteller nachhaltig zu einer Verbesserung der Sicherheit zwingen. Es werden zwar die jetzt bekanntgewordenen Löcher geschlossen und eine Zeitlang wird ein höheres Sicherheitsniveau herrschen. Längerfristig werden die Geheimdienste und Cyberkriminelle jedoch neue Lücken finden.

Eine nachhaltigere Verbesserung wäre durch eine Öffnung der Hardware-Plattformen möglich. Ein BIOS, dessen dokumentierter Quellcode offen vorliegt und von Hunderten oder Tausenden Interessierten gelesen und nach Sicherheitslücken durchsucht wird, ist sicherer als ein BIOS, das als Geschäftsgeheimnis unter Verschluss bleibt. Und eine gut dokumentierte Hardware bietet nicht nur die Möglichkeit für neue und kreative Anwendungen (wie beispielsweise dazumal beim C64, dessen Floppy-Laufwerk von findigen Programmierern für mathematische Berechnungen herangezogen wurde), sondern auch neue Möglichkeiten der Absicherung - vielleicht gibt es ja bald eine "Firewall" für die Festplatte.

Keine Lösung hingegen sind - difficilis est satiram non scribere - erweiterte Überwachungsbefugnisse für die Geheimdienste, wie sie der Bundesnachrichtendienst (BND) unlängst gefordert hat. Die Nachrichtendienste müssten vielmehr zur sofortigen Meldung von gefundenen Sicherheitslücken an Hersteller und Betroffene verpflichtet werden. Nur so könnten sie von einem Teil des Problems zu einem Teil der Lösung werden.