Zum Inhalt springen Zur Navigation springen
IT-Sicherheitsbedrohung: Sicherheitslücken und Schwachstellen

IT-Sicherheitsbedrohung: Sicherheitslücken und Schwachstellen

Artikel von Robin Fuchs·31. März 2023

Durch die immer weiterwachsende Vernetzung von Systemen und die dadurch entstehende Abhängigkeit von digitalen Prozessen, wird die IT-Sicherheit zu einer immer wichtigeren Herausforderung für Unternehmen, aber auch Privatpersonen. Eine besondere Bedrohung sind hierbei Sicherheitslücken, die effektive Maßnahmen zur Prävention und Entdeckung erfordern. Im Folgenden werden Sie darüber aufgeklärt, warum IT-Sicherheit wichtig ist und wie Sie entstehende Sicherheitslücken schließen können.

Was versteht man unter Sicherheitslücken in der IT-Sicherheit?

Egal ob durch Programmierfehler, Konfigurationsfehler, fehlende oder unzureichende Sicherheitsvorkehrungen oder andere Faktoren. Unter Sicherheitslücken versteht man in der IT-Sicherheit Schwachstellen in IT-Systemen, Netzwerken oder auch Anwendungen, welche es Dritten ermöglichen können, unbefugt ins System zu gelangen, um dieses dann, meist zu dessen Gunsten, zu manipulieren oder zu beeinträchtigen. Das kann in Form von Malware, Spyware oder anderer Schadsoftware geschehen. Diese nicht vorhergesehenen Bedrohungen können oft zu hohen Schäden führen bis hin zur Verschlüsselung eines ganzen Systems im Unternehmen.

Wie entstehen diese Schwachstellen in der Software?

Entwicklung von Software ist nicht immer einfach und kann eher als ein laufender Prozess angesehen werden. Nur weil eine Software auf dem Markt erscheint, heißt das nicht, dass diese perfekt programmiert ist. Verschiedene Faktoren können zu Schwachstellen führen:

  • Programmierfehler: Nicht ordnungsgemäß funktionierende Software führt oft zu Fehlern und möglichen Sicherheitslücken.
  • Konfigurationsfehler: Fehlerhafte oder nicht sichere Konfigurationen können ebenfalls zu Sicherheitslücken führen. Beispiel: offener Port.
  • Verschlüsselung: Sollte an aktuellen Standards angepasst sein. Veraltete Methoden ermöglichen Entschlüsselung durch Angreifer.
  • Fehlende Awareness: Mit gesundem Menschenverstand an IT-Sicherheitsrichtlinien herantreten und diese umsetzen.

Wichtig ist, dass entwickelte Software so gut es geht nach Fehlern überprüft wird und diese nicht zu voreilig auf den Markt kommt. Durch Schulungen der Mitarbeitenden, Code Reviews und andere Tests kann vorbeugend gearbeitet werden.

Exploits und die Gefahr, die sie hervorbringen

Da große Softwareanwendungen oft viele Fehler haben, sind Exploits bei diesen besonders gefährlich. Das sind speziell konzipierte Tools oder Programme, die gezielt die Schwachstellen ausnutzen, die in der Software stecken, um dann zum Beispiel Malware auf dem System zu installieren und damit an Daten zu gelangen. Angreifern ermöglichen Exploits unerlaubten Zugriff auf ein System, in dem sie meist Schaden anrichten möchten. Die Besonderheit von Exploits ist, dass diese meist schnell und einfach zu implementieren sind, wenn dem Angreifer die Schwachstelle bekannt ist, durch die er dem System Schaden zufügen will. Es ist daher von essentieller Bedeutung, dass Software und Anwendungen stets auf aktuellen Stand sind, da durch Patches und Updates, die Chance minimiert wird Opfer von Sicherheitslücken zu werden.

Es muss jedoch dazu gesagt werden, dass eine Schwachstelle nicht immer gleich gefährlich sein muss. Oft können entstandene Schwachstellen durch Angreifer technisch erst gar nicht ausgenutzt werden oder dem System schaden, was jedoch nicht heißt, dass diese nicht geschlossen werden sollte. Auf der anderen Seite können auch auf den ersten Blick scheinende harmlose Lücken, die ignoriert werden, über bestimmte Exploits ausgenutzt werden und sich als schwere Sicherheitslücken herausstellen und so dem System schaden.

Wie werden Schwachstellen aufgedeckt?

Es gibt viele Arten wie eine Schwachstelle in Software oder Systemen entdeckt werden kann. Von Penetration Testing durch sogenannte White Hats, über Revision beim Hersteller selbst oder auch den Zero Day Exploits, bei denen den „Guten“ erst dann der Sicherheitseinbruch auffällt, wenn der Angreifer diesen schon massenhaft ausgenutzt hat, um Schaden anzurichten.

  • Penetration Tests: Gezieltes Testen einer Infrastruktur auf Schwachstellen. IP-Adressen, Ports, Anwendungen, die nach außen kommunizieren, etc.
  • Coordinated Vulnerability Disclosure: Sicherheitsforscher testen bestimmte Software und identifizieren eine Schwachstelle und melden es erst einmal nur dem Softwarehersteller.
  • Vulnerability Scanning: Systeme oder Softwareanwendungen werden auf Schwachstellen in der IT-Infrastruktur gescannt.
  • Revision durch Hersteller: Hersteller behebt selbst den Fehler und rollt Sicherheitspatch aus.
  • White Hats: Die „netten“ Hacker. Werden vom Unternehmen beauftragt Schwachstellen in der IT-Infrastruktur zu finden.

Für den Umgang mit einer gefunden Schwachstelle in einer Software, die auf dem Markt ist und von Menschen genutzt wird, hat das Bundesministerium für Sicherheit in der Informationstechnik eine Leitlinie, an der man sich orientieren kann.

Zero-Days und das lukrative Geschäft mit IT-Sicherheitslücken

Neben den oben aufgezählten Wegen von einer Schwachstelle zu erfahren, gibt es auch noch die der Zero Day Schwachstelle. Hierbei erfährt die „gute“ Seite in der Regel erst von einer Sicherheitslücke, sobald diese von einem Angreifer ausgenutzt wurde. Die Entwickler der Software oder der Anwendung hatten keine Zeit zwischen Angriff und öffentlicher Bekanntgabe der Schwachstelle, Sicherheitspatches zu schreiben und diese zur Verfügung zu stellen.

Im Regelfall werden Zero Day Lücken anonym auf dem Schwarzmarkt, meist im Darkweb, für viel Geld verkauft. Die Transaktionen auf diesen Märkten sind kaum zurückzuverfolgen und somit kann auch das Gesetz hier nicht wirken. Dies erleichtert den Verkauf von Zero Day Exploits extrem. Diese Käufer sind meist Cyberkriminelle oder andere Beteiligte, die sich durch den Erwerb von Exploits einen Vorteil gegenüber den Kontrahenten verschaffen wollen.

Neben den genannten Parteien gibt es heute auch einen „grauen Markt„. Dieser besteht aus Sicherheitsunternehmen, die (westlichen) Regierungen und ihren Geheimdiensten oder Strafverfolgungsbehörden Sicherheitslücken und die passende Software, um diese auszunutzen, oder gleich den Zugriff auf Geräte verkaufen. Heutzutage werden Zero Day Exploits oft von Regierungen dazu genutzt kriminellen Zielpersonen oder -organisationen das Handwerk zu legen, in dem diese in deren Computersysteme gelangen, um hochsensible und geheime Informationen zu finden. Da diese Exploits meist schwer zu erkennen sind, eignen sich die Exploits optimal dazu, um von staatlichen Institutionen genutzt zu werden, um ihre Ziele zu erreichen.

Nachteile beim Kauf von Exploits durch Regierungen:

Für die IT-Sicherheit im Allgemeinen hat der Kauf von Sicherheitslücken und Exploits durch Regierungen auch einige Nachteile:

  • Sicherheitsrisiko für alle: Sobald die Exploits in falsche Hände gelangen, da nicht ausreichend Sicherheitsmaßnahmen vorgenommen wurden, kann damit ein riesiger Schaden angerichtet werden.
  • Immer weiter steigende Kosten: Exploits sind eine sehr teure Angelegenheit. Um mit anderen Ländern mithalten zu können, müssen Regierungen oft viel Geld aufwenden, um den Wettbewerbsvorteil nicht zu verlieren.
  • Undurchsichtig: Es fehlt hierbei an Transparenz. Der Kauf und Einsatz solcher Strategien ist meistens streng geheim. Bürgerinnen und Bürger wissen also nicht, welche Exploits von ihrer Regierung gekauft und wie diese eingesetzt werden, um die Bevölkerung zu „schützen“.
  • Spionage gegenüber Bürgerinnen/Bürgern: Es liegt nahe, dass eine Regierung solche Exploits nicht nur nutzt, um Verbrechen vorzubeugen, sondern auch um die Privatsphäre zu verletzten und die eigenen Bürger auszuspionieren. Auch in Europa wurde zum Beispiel bei investigativen Journalisten, Aktivisten oder anderen Personen Spionagesoftware gefunden, die wohl über eine Sicherheitslücke bei WhatsApp auf deren Geräte gespielt wurde.

Wie können sich Unternehmen vor Angriffen über Sicherheitslücken schützen?

Um sich gegen Angriffe durch die angesprochenen Lücken zu schützen, muss als Unternehmen eine Awareness geschaffen werden. IT-Richtlinien müssen geschaffen und durchgesetzt werden. Einfache Beispiele, wie man einem Angriff über Sicherheitslücken entgegenwirken kann, sind folgende:

Unternehmen können diese einfachen Schritte durchführen und so ihre Sicherheitslage enorm verbessern. Das Risiko für einen Angriff wird somit verringert. Schulungen darüber welche Sicherheitslücken gerade aktuell sind, sollten aber in jedem Fall im Unternehmen regelmäßig vorgestellt werden. Das schafft die angesprochene Awareness zum Thema IT-Sicherheit.

Getrennt von den aufgelisteten Punkten, sollte ein Schwachstellenmanagement aufgestellt sein. Dieses zeigt vorhandene Schwachstellen auf und wo noch Verbesserungsmöglichkeiten sein könnten. Mit Penetrationstests kann im Anschluss noch genauer die Infrastruktur betrachtet werden und optimalerweise dadurch Schwachstellen geschlossen werden.

Mehr zum Thema IT
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.