IT-Experten: Mit "Zero Trust" das nächste Security-Desaster verhindern
Nach den Sicherheitsdebakeln Log4j und SolarWinds werden in IT-Security-Kreisen bislang blinde Flecken wie Firmware und Lieferketten besser ausgeleuchtet.
(Bild: Sasun Bughdaryan/Shutterstock.com)
Die Cyberangriffe, die die Kompromittierung des Softwareanbieters SolarWinds und die Sicherheitslücke Log4Shell im Java-Framework Log4j nach sich zogen, verunsichern die IT-Security-Szene weiterhin. "Wir dürfen nicht abwarten, bis das nächste Ding in freier Wildbahn auftaucht", betonte Ramy Houssaini, der bei der Bank BNP Paribas in den USA für Cyber- und Technologierisiken zuständig ist, am Donnerstag auf einem Online-Panel zum "blinden Fleck" der Firmware in der Lieferkette vom Security Innovation Network (Sinet).
"Verteidigungslinie hochfahren"
Zu viele IT-Manager verließen sich nach wie vor auf eine Art Urvertrauen in Hardware, führte Houssaini aus. Spätestens mit dem Internet der Dinge und den damit verknüpften vielen Online-Geräten sei diese Vertrauenskette aber nicht mehr haltbar. Prinzipiell nähmen Hacker verstärkt Firmware als integrierte Relaisstation zwischen Hardware und Anwendungssoftware ins Visier. Dabei handle es sich um ein "mächtiges Stück Programmcode", das mit vielen Berechtigungen ausgestattet sei und oft auf mehr oder weniger stark überprüften Open-Source-Komponenten beruhe.
Die bei Software gängige Fehlerbehebung, das Betriebssystem neu zu installieren, "funktioniert bei einer kompromittierten Firmware nicht", gab der Risikomanager zu bedenken. Es gelte daher, "jetzt die Verteidigungslinie hochzufahren". Dabei müssten auch die Lieferketten von Chips selbst einbezogen werden, wobei die "geopolitische Perspektive" etwa rund um Taiwan und China zu betrachten sei.
Vertrauenswürdige Chipfertigung
Das staatliche Förderprogramm für eine vertrauenswürdige Chipfertigung funktioniere entgegen vieler medialer Darstellungen gut, klinkte sich an dieser Stelle Don Davidson ein, der die Cyberrisiken in der Supply Chain bei Synopsys im Blick hat, einem US-Hersteller von Halbleiter-Design-Software. Es reiche zwar nicht für die Fertigung sämtlicher Silizium-Produkte, aber für diejenigen auf dem Stand der Technik, die momentan auch für die Praxis relevant seien. Dabei handle es sich nicht unbedingt um die neuesten Entwicklungen mit Strukturgrößen zwischen 10 und 3 Nanometer.
Früher hätten alle IT nur "schnell und günstig" implementieren wollen, erinnerte Davidson an noch nicht so weit zurückliegende Zeiten. Mittlerweile sei mehr Entscheidern klar, dass IT-Sicherheit in Soft- und Hardware mit eingebaut werden müsse ("Security by Design"). Bei den Geräten selbst sei es aber schwieriger, Informationen über Sicherheitslücken zu teilen und diese zu stopfen. Dafür gelte es jetzt, kommerzielle Standards zu entwickeln, da die Regierung dieses Problem allein nicht lösen werde.
Mark Hakun, Beauftragter für Cybersecurity im US-Verteidigungsministerium, bestätigte, dass auch das US-Militär Upgrades und Updates nur zurückhaltend durchgeführt habe, "solange die Systeme funktionierten". Mittlerweile schließe das Pentagon für IT aber nur noch Verträge ab, wenn darüber Support für den gesamten Lebenszyklus der zugehörigen Hard- und Software nebst Patchmanagement mitgeliefert werde. Ende-zu-Ende-Sicherheit sei gefragt. Dabei sei zu bedenken, dass etwa Chips in Flugzeugen teils 40 bis 50 Jahre funktionieren und solange auch abgesichert werden müssten.
Trust no one
Bei IT-Systemen ist es für Hakun unerlässlich zu wissen, "wer die Firmware entwickelt hat". Es müssten Pfeiler für das "Zero Trust"-Modell eingezogen werden. Dieses lässt sich am einfachsten mit "Traue keinem" beschreiben. Implizites Vertrauen gilt dabei als Schwachstelle, die Angreifer für laterale Bewegungen und den Zugriff auf sensible Daten missbrauchen können. Jeder einzelne Zugriff soll daher eine Authentifizierung erfordern, was hierzulande etwa das Bundesinnenministerium anstrebt.
"Aktuell läuft alles auf Zero Trust hinaus", hob auch David Beach hervor, der bei Mastercard den Bereich "Sicherheit und Aufklärung" leitet. Die Integrität aller IT-Komponenten und Geräte müsse gewährleistet werden. Hilfreich dafür wäre ihm zufolge ein spezieller Ort, um innerhalb der Industrie weltweit Informationen über Angriffe und Abhilfemaßnahmen auszutauschen. Bei dem Kreditkartenunternehmen selbst sei der Prozess, um neue Lieferanten und Hersteller an Bord zu nehmen, seit Log4j und SolarWinds jedenfalls "herausfordernder" geworden.
Schon 25 Prozent der aktiven Exploits zum Ausnutzen von Schwachstellen bezögen sich auf Firmware, verdeutlichte Yuriy Bulygin, Gründer der IT-Sicherheitsfirma Eclypsium, die sich auf diesen Bereich spezialisiert hat. Er plädierte für Zero Trust schon beim Bau von IT-Ressourcen und vernetzten Geräten. Derzeit seien Lücken in Laptops von Dell letztlich genauso einfach aus der Ferne auszunutzen wie in tragbaren Computern von Huawei. Die Geräte müssten daher genauso gehandhabt, abgedichtet und kontrolliert werden, da auch Schwachstellen in Firm- und Hardware nach wenigen Tagen etwa durch Schürfer von Kryptomünzen oder staatliche Hacker missbraucht würden.
IT-Sicherheit bei Firmware und in der Lieferkette sei "nicht sexy", aber fundamental, meinte Nima Baiati, geschäftsführender Direktor der Abteilung für kommerzielle Cybersicherheitslösungen bei Lenovo. Die Aufmerksamkeit für das Thema wachse auf dem Markt. Für Gründer von Start-ups in diesem Bereich mit "Dollar-Perspektive" könnte sich dies auszahlen, da es hier weniger Konkurrenten und so eine größere Chance gebe, "Gold" zu finden.
()
