Das Problem mit den Updates

Der Grad an relativer Sicherheit bzgl. Gefahren durch Schadsoftware auf dem eigenen PC hängt stark damit zusammen, in wie weit man dafür sorgt, dass das verwendete Betriebssystem sowie die installierte Software jeweils auf dem aktuellsten Stand ist.

Hersteller verbreiteter Softwareprodukte werden laufend auf Schwachstellen, Fehler u.ä. ihrer Programme hingewiesen. Manche davon so gravierend, dass rasche Updates ausgeliefert werden müssen.

Am besten stehen da die Nutzer von Linux da. Linux bringt eine Paketverwaltung mit, die ohne weitere Aktivität des Anwenders Buch darüber führt, ob alle installierten Pakete aktuell sind, ob Updates vorliegen und eingespielt werden müssen und ob das Austauschen einzelner Komponenten währen eines Aktualisierungslaufs andere Programme in ihrer Funktionsweise beeinträchtigt (Abhängigkeitsauflösung).

Das fehlt bei Windows. Windows kann zwar so konfiguriert werden, dass es die regelmäßig veröffentlichten Updates für Microsoft-Produkte selbsttätig findet, herunterlädt und installiert – für die diversen sonstigen auf dem Rechner installierten Anwendungen leistet es das jedoch nicht. Darum hätte sich der Nutzer selbst zu kümmern (bzw. den hoffentlich vorhandenen und aktivierten Auto-Update-Funktionen seiner Programme zu vertrauen). Abhängigkeitsauflösungen und Kompatibilitätstest auf Verträglichkeit einzelner Updates mit anderen, bereits vorhandenen Programmen gibt es erst recht nicht.

Doch gerade aus der Sicherheitsperspektive betrachtet, ist es sehr wichtig, dass veraltete oder als mit bekannten Schwachstellen belastete Software zügig ersetzt wird. Für die Programmierer von Schadsoftware sind speziell Browser und verbreitete Anzeigeprogramme für Mediendateien ein beliebtes Angriffsziel. Sie sind auf fast allen Rechnern vorhanden, arbeiten überall in gleicher Weise und können so Schadcode den Zugriff auf den vollen Rechner eröffnen. Ein Großteil aller entdeckten Schwachstellen entfällt dabei auf nur wenige, dafür aber sehr weit verbreitete Softwareprodukte.

In Unternehmen mit zahlreichen windowsbasierten Arbeitsplatzrechnern werden daher kommerzielle Softwareverteil- und -paketiersysteme eingesetzt und die genutzten Softwarebestände im Rahmen von geregelten Release- & Rollout-Management-Prozessen verwaltet und aktuell gehalten.

Für Privatanwender bietet die Firma Secunia mit dem kostenlosem Personal Software Inspector (PSI) ein meiner Ansicht nach sehr nützliches Programm zum Download an. Der PSI inventarisiert nach dem ersten Start die auf dem PC vorhandenen Programme und gleich deren Versionsstände mit seiner Versionsdatenbank ab. Auf diese Weise entdeckt er schon rasch veraltete Programme, mehrere parallel installierte Versionen und andere potentielle Sicherheitsdefizite. Für die meisten bietet er auch gleich Links an, um Updates für die betroffenen Programme von den Webseiten der jeweiligen Anbieter herunterzuladen. Manche kann PSI sogar selbsttätig finden und einspielen. Auf diese Weise kann das im Hintergrund laufende Programm dazu genutzt werden, den Rechner automatisch mit Updates der gängigsten Programme versorgen zu lassen, sobald diese veröffentlicht werden. Ein manuelles Nachführen ist dann nicht mehr notwendig.

Leider bringt nicht jedes obsolet gewordene Programm einen eigenen Uninstaller mit. Und die Softwareverwaltung von Windows ist beim „Aufräumen“ nicht immer allzu gründlich. Oft bleiben auch nach einer Deinstallation noch Dateien, Verzeichnisse und Registrierdateneinträge übrig. Das ist zwar im Zeitalter der Terabyte-Festplatten bzgl. des belegten Plattenspeichers kein echtes Platzproblem. Allerdings kann jedes auf dem Rechner vorhandenes Stück Software ein potenzielles Einfallstor für Angriffe per Schadcode werden.

Wer die PC-Hygiene daher sorgfältiger betreiben will, kann dazu auf die ebenfalls kostenlosen Tool Revo Uninstaller (kostenlose Basisversion, deinstalliert Programme) und CCleaner (findet und beseitigt Datenmüll) einsetzen. Für Schadsoftware wird es auf einem solchermaßen aktuell gehaltenen Rechner deutlich schwieriger, sich festzusetzen.

Wenn Programmierer sich zum Affen machen

„Easter Eggs“ sind kleine Überraschungen, die Programmierer in den Code ihrer Programme einbauen. Oftmals schwer zugänglich, z.B. durch exotische Tastenkombinationen, die nur in bestimmten Situationen funktionieren, erzeugen sie oft unerwartete und meistens witzige Effekte. So enthielt Microsofts weit verbreitete Tabellenkalkulation Excel lange Zeit einen kleinen Flugsimulator. Diese „Ostereier“ im Programmcode stellen aber auch ein Sicherheitsrisiko dar, da sie ja versteckt und an jeder Form von Qualitätskontrolle durch Testen, Reviews usw. vorbei implementiert wurden.

Wer daher nach potentiellen Schwachstellen in Programmen sucht, hält meist auch nach solchen Ostereiern Ausschau. Das taten wohl auch die Stuxnet-Entwickler sowie andere, an den programmtechnischen Innereien von Prozessrechnern aus dem Hause Siemens interessierte Leute. Die Siemens-Geräte rückten ins Blickfeld, nachdem bekannt wurde, dass man über Manipulationen dieser i.d.R. eher schlecht gesicherten Rechner teure Technik in Kraftwerken oder Produktionsanlagen über gezielte Veränderung der zulässigen Betriebsparameter angreifen kann.

So stellten experimentierfreudige Hacker auf der letzten Black-Hat-Konferenz in Las Vegas ihre Erkenntnisse beim Hacken von Industriesteuerungsanlagen von Siemens vor. In Geräten der Serie Simatic S7-300 fanden sie sogar hartcodierte Nutzer und Passwörter. „Ich konnte mich per telnet und http einloggen, den Speicher auslesen, Dateien löschen und Befehle geben“, so Dillon Beresford, der dieses Sicherheitsleck entdeckte.

Wie viele der Anlagen von Sicherheitsproblemen betroffen sind, ist kaum abzuschätzen. Die Simatic-Anlagen gelten weltweit als Standard für die Steuerung industrieller Prozesse aller Art. Neben den fest vergebenen Passwörtern hat Beresford allerdings noch ein Dutzend weiterer Sicherheitslücken in den Siemens-Kontrollanlagen entdeckt. Er konnte zeigen, wie sich die Systeme so manipulieren lassen, dass sie falsche Kommandos ausführen oder verfälschte Daten an ihre Leitstellen schicken.

Aus Sicht von Siemens wären nur bestimmte, ältere Geräte mit einer nicht mehr aktuellen Firmware betroffen. Allerdings werden solche Prozesssteuerungsanlagen nicht wie PCs in kurzen Abständen gepatcht, wenn ein Leck auftaucht. Stattdessen werden an die Software generell höhere Ansprüche hinsichtlich Qualitätseigenschaften gestellt. Ansonsten wäre ihr Betrieb im hochregulierten Industrieumfeld auch gar nicht genehmigungsfähig.

Neben den Sicherheitslücken fand Beresford allerdings noch ein klassisches „Easter Egg“ in der Siemens-Software. Programmierer hatten darin eine rote Website untergebracht, auf der Zeichnungen von spielenden Affen zu sehen sind und der Satz „Nix hören, nix arbeite, einfach nur…“. Ein Zeichen davon, was sie von der Siemens-Kultur in dem von Shareholder-Value und managerialer Übersteuerung geprägten Konzern hielten?

Ob sich dieser Programmierscherz aufgrund darin enthaltener Schwachstellen dazu benutzen lässt, um Schadcode in die Maschinen einzuschmuggeln, ist noch unklar. Das Siemens-Management allerdings habe sehr aufgeregt reagiert, als Beresford dem Unternehmen von seinem kuriosen Fund berichtete, wie er in einem Wired-Interview erklärte: „Sie waren nicht gerade glücklich.“